Қауіпсіздік белгісі - Security token

A қауіпсіздік белгісі Бұл перифериялық құрылғы электронды түрде шектелген ресурсқа қол жеткізу үшін қолданылады. Маркер а-ға қосымша немесе оның орнына қолданылады пароль. Ол бір нәрсеге қол жеткізу үшін электрондық кілт сияқты әрекет етеді. Мысалдарға сымсыз байланыс жатады пернетақта құлыпталған есікті ашу немесе клиент өзінің банктік шотына онлайн қол жеткізуге тырысқан жағдайда, банк ұсынған жетонды пайдалану клиенттің өзі кім екенін дәлелдеуі мүмкін.

Кейбір жетондар сақталуы мүмкін криптографиялық кілттер а құру үшін пайдаланылуы мүмкін ЭЦҚ, немесе биометриялық сияқты деректер саусақ ізі егжей. Кейбіреулер сақтауы да мүмкін парольдер.^[1] Кейбір дизайндар кіреді бұзуға төзімді қаптамада, ал басқаларында а кіруіне мүмкіндік беретін шағын пернетақталар болуы мүмкін PIN коды немесе қарапайым кнопка, кілттің пайда болған нөмірін көрсету үшін кейбір көрсету мүмкіндігімен генерациялау процедурасын бастаңыз. Байланыстырылған таңбалауыштар әртүрлі интерфейстерді пайдаланады, соның ішінде USB флеш, далалық байланыс (NFC), радиожиілікті сәйкестендіру (RFID) немесе блютуз. Кейбір жетондардың көру қабілеті нашар адамдарға арналған аудио мүмкіндігі бар.

Пароль түрлері

Барлық таңбалауыштарда жеке басын куәландыратын құпия ақпарат бар. Бұл ақпаратты төрт түрлі әдіспен қолдануға болады:

Интернет-банкингке арналған парольдің асинхронды белгісі.

Статикалық пароль белгісі: Құрылғы физикалық түрде жасырын (иесіне көрінбейтін), бірақ әрбір аутентификация үшін берілетін парольден тұрады. Бұл түр осал болып табылады қайта шабуылдар.
Синхронды динамикалық пароль: Таймер а арқылы жасалған әр түрлі комбинациялар арқылы айналу үшін қолданылады криптографиялық алгоритм. Маркер мен аутентификация серверінде синхрондалған сағаттар болуы керек.
Асинхронды пароль таңбасы: A бір реттік құпия сөз а қолданбай, сағат қолданбай жасалады бір реттік төсеніш немесе криптографиялық алгоритм.
Қиындыққа жауап жетон: Қолдану ашық кілт криптографиясы, бұл кілтті ашпай-ақ жеке кілттің бар екендігін дәлелдеуге болады. Аутентификация сервері қиындықты шифрлайды (әдетте кездейсоқ сан немесе ең болмағанда кездейсоқ бөліктері бар деректер); құрылғы шифры шешілген тапсырманы ұсына отырып, сәйкес келетін жеке кілттің көшірмесі бар екенін дәлелдейді.

Бір реттік құпия сөздер

Уақытпен синхрондалған бір реттік парольдер белгіленген уақыт аралығында үнемі өзгеріп отырады; мысалы, минутына бір рет. Бұл үшін синхрондаудың арасында болуы керек клиент токен және аутентификация сервер. Ажыратылған таңбалауыштар үшін уақытты синхрондау токенге үлестірілмес бұрын жасалады клиент. Маркерді ан енгізген кезде синхрондауды басқа таңбалауыш түрлері орындайды енгізу құрылғысы. Уақытпен синхрондалған таңбалауыштардың басты проблемасы - уақыт өте келе синхрондалмауы мүмкін.^[2] Алайда, мұндай жүйелер, мысалы, RSA сияқты SecurID, пайдаланушыға токенмен синхронизациялауға, кейде қатарынан бірнеше құпия кодты енгізу арқылы мүмкіндік береді. Көпшілігінде ауыстырылатын батареялар болуы мүмкін емес және оларды ауыстырғанға дейін 5 жылға дейін қызмет етеді, сондықтан қосымша шығындар бар.^[3]

Бір реттік құпия сөздің тағы бір түрі күрделі математикалық алгоритмді қолданады, мысалы хэш тізбегі, құпия ортақ кілттен бір реттік құпия сөздердің сериясын жасау. Әрбір құпия сөз алдын-ала құпия сөздер белгілі болған кезде де болжанбайды. Ашық ақпарат көзі OAuth алгоритм стандартталған; басқа алгоритмдер АҚШ-та қамтылған патенттер. Әрбір құпия сөз алдын-ала болжанбайтын және алдын-ала құпия сөздерге тәуелді емес, сондықтан қарсылас келесі барлық парольдерді біле тұра келесі құпия сөздің қандай болатынын болжай алмайды.

Физикалық түрлері

Төкендер болуы мүмкін чиптер функциялар өте қарапайымнан күрделіге, оның ішінде бірнеше аутентификация әдістеріне дейін өзгереді.

Қарапайым қауіпсіздік таңбалауыштары а-ға қосылуды қажет етпейді компьютер. Төкендер физикалық дисплейге ие; аутентификациялаушы пайдаланушы көрсетілген нөмірді кіру үшін жай ғана енгізеді. Басқа жетондар компьютерге сымсыз байланыс тәсілдері арқылы қосылады, мысалы блютуз. Бұл таңбалауыштар кілттер тізбегін жергілікті клиентке немесе жақын орналасқан кіру нүктесіне жібереді.

Сонымен қатар, көптеген жылдардан бері қол жетімді токендердің тағы бір түрі - мобильді құрылғы, бұл диапазоннан тыс арнаны (мысалы, дауыс, қысқаша хабар қызметі, немесе USSD ).

Компьютерге басқа токендер қосылады және PIN коды қажет болуы мүмкін. Лексеманың түріне байланысты компьютер ОЖ немесе токеннен кілтті оқып, оған криптографиялық операция жасайды немесе токеннің микробағдарламасынан осы әрекетті орындауын сұрайды.

Тиісті қосымша - бұл аппараттық құрал донгл меншікті растайтын кейбір компьютерлік бағдарламалар талап етеді бағдарламалық жасақтама. Dongle an енгізу құрылғысы және бағдарламалық жасақтама қол жетімді Енгізу-шығару құрылғысы сұрақ рұқсат ету пайдалану бағдарламалық жасақтама сұрақта.

Коммерциялық шешімдерді әртүрлі сатушылар ұсынады, олардың әрқайсысы әртүрлі пайдаланылатын қауіпсіздік функцияларын өзіндік (және көбінесе патенттелген) іске асыруға ие. Белгілі бір қауіпсіздік стандарттарына сәйкес келетін токендердің дизайны Америка Құрама Штаттарында сәйкес сертификатталған 140, федералдық қауіпсіздік стандарты. Сертификаттаудың кез-келген түріне жатпайтын белгілерді кейде күдікті деп санайды, өйткені олар көбінесе қабылданған мемлекеттік немесе салалық қауіпсіздік стандарттарына сәйкес келмейді, қатаң тестілеуден өткізілмейді және мүмкін, криптографиялық қауіпсіздікті таңбалауыш шешімдерімен қамтамасыз ете алмайды. үшінші тарап агенттіктері тәуелсіз тексеретін жобалар.^{[дәйексөз қажет ]}

Ажыратылған жетондар

Ажыратылған жетон. Нөмірді келесіге көшіру керек СЫРТҚА өріс қолмен.

Ажыратылған таңбалауыштардың клиенттік компьютермен физикалық және логикалық байланысы жоқ. Олар әдетте арнайы енгізу құрылғысын қажет етпейді және оның орнына пайдаланушы пернетақта немесе пернетақта арқылы өздері қолмен енгізетін түпнұсқалық растама деректерін көрсету үшін кірістірілген экранды пайдаланады. Ажыратылған таңбалауыштар - желілік сәйкестендіру үшін екі факторлы аутентификация кезінде қолданылатын қауіпсіздік белгілерінің ең көп таралған түрі (әдетте парольмен бірге).^[4]

Қосылған жетондар

Байланыстырылған токендер - бұл пайдаланушы аутентификацияланатын компьютерге физикалық түрде қосылуы керек токендер. Осы санаттағы маркерлер пайдаланушыға аутентификация туралы ақпаратты қолмен енгізу қажеттілігін болдырмайтын физикалық байланыс орнатылғаннан кейін аутентификация туралы ақпаратты автоматты түрде клиенттік компьютерге жібереді. Дегенмен, қосылған токенді пайдалану үшін тиісті кіріс құрылғысы орнатылуы керек. Физикалық жетондардың ең көп таралған түрлері болып табылады смарт-карталар және сәйкесінше смарт-картаны оқу құралы мен USB-порт қажет USB жетондары. Барған сайын, Әмбебап 2-фактор (U2F) таңбалауыштар, ашық спецификация тобы қолдайды FIDO Альянсы 2015 жылдан бастап танымал браузерлерді қолдайтын және танымал веб-сайттар мен әлеуметтік медиа сайттардың қолдауына ие тұтынушылар үшін танымал болды.

Егде ДК картасы жетондар бірінші кезекте жұмыс істеуге арналған ноутбуктер. II типті компьютерлік карталар таңбалауыш ретінде таңдалады, өйткені олар III типтен жарты есе қалың.

Дыбыстық ұя ұясы - бұл iPhone, iPad және Android сияқты мобильді құрылғылар мен басқа аксессуарлар арасында байланыс орнатудың салыстырмалы практикалық әдісі. Ең танымал құрылғы деп аталады Алаң, iPhone және Android үшін несие картасын оқу құралы.

Кейбіреулері арнайы мақсаттағы интерфейсті пайдаланады (мысалы крипто тұтану кілті Америка Құрама Штаттары орналастырылған Ұлттық қауіпсіздік агенттігі ). Токендерді фотосурет ретінде де пайдалануға болады жеке куәлік. Ұялы телефондар және PDA тиісті бағдарламалау кезінде қауіпсіздік белгілері ретінде де қызмет ете алады.

Смарт карталар

Көптеген қосылған токендер смарт-карта технологиясын қолданады. Смарт-карталар өте арзан болуы мүмкін (шамамен он цент)^{[дәйексөз қажет ]} және қауіпсіздіктің дәлелденген тетіктерін қамтуы керек (қаржы институттары қолданатын, мысалы, ақша карталары сияқты). Алайда, смарт-карталардың есептеу өнімділігі өте төмен қуат тұтынатындықтан және форма-фактордың ультра-жіңішке талаптарына байланысты шектеулі.

Смарт-карталарға негізделген USB флеш қамтитын жетондар смарт-карта ішіндегі чип USB жетондарының да, смарт карталардың да жұмысын қамтамасыз етеді. Олар қауіпсіздік шешімдерінің кең спектрін ұсынады және дәстүрлі смарт картаның мүмкіндіктері мен қауіпсіздігін бірегей енгізу құрылғысын қажет етпейді. Бастап компьютердің операциялық жүйесі Мұндай токен - бұл алынбалы емес бір смарт-карта бар, USB-ге қосылған смарт-картаны оқу құралы.^[5]

Байланыс белгілері

Байланыстырылған токендерден айырмашылығы, контактісіз жетондар клиенттік компьютермен логикалық байланыс жасайды, бірақ физикалық байланысты қажет етпейді. Физикалық байланыстың қажеттілігінің болмауы оларды байланыстырылған және ажыратылған токендерге қарағанда ыңғайлы етеді. Нәтижесінде, контактісіз таңбалауыштар танымал таңдау болып табылады кілтсіз енгізу сияқты жүйелер мен электрондық төлем шешімдері Mobil Speedpass, ол қолданады RFID салпыншақ белгісінен аутентификация туралы ақпаратты жіберу үшін. Алайда, зерттеушілерден кейін RFID таңбалауыштарына қатысты әртүрлі қауіпсіздік мәселелері туындады Джон Хопкинс университеті және RSA зертханалары RFID тегтері оңай жарылып, клондалатындығын анықтады.^[6]

Тағы бір минус - байланыссыз токендердің батареяның қызмет ету мерзімі салыстырмалы түрде қысқа; әдетте тек 5-6 жыл, бұл салыстырғанда төмен USB флеш 10 жылдан астам уақытқа созылатын жетондар.^{[дәйексөз қажет ]} Кейбір жетондар батареяларды өзгертуге мүмкіндік береді, сондықтан шығындар азаяды.

Bluetooth жетондары

The блютуз Төмен энергетикалық хаттамалар сымсыз тарату батареясының ұзақ мерзімді қызмет етуіне қызмет етеді.

Түпнұсқалық Bluetooth жеке деректерін беру аутентификацияны қолдау үшін ең төменгі сапа болып табылады.
Мәліметтердің транзакциялық алмасуы үшін екі бағытты байланыс аутентификацияның ең күрделі процедураларына қызмет етеді.

Қуатты автоматты түрде басқаруды радиалды қашықтықты бағалау әрекеттері қарама-қайшы келеді. Қашу минималды талап етілетін қуат қуатын калибрлеуді қамтамасыз ету үшін стандартталған Bluetooth қуатын басқару алгоритмінен басқа қол жетімді.^[7]

Bluetooth таңбалауыштары көбінесе USB таңбалауышымен біріктіріледі, осылайша қосылған және ажыратылған күйде жұмыс істейді. Bluetooth аутентификациясы 10 футтан 32 футтан жақын болған кезде жұмыс істейді. Bluetooth сілтемесі дұрыс жұмыс істемей тұрғанда, жетон а-ға енгізілуі мүмкін USB флеш енгізу құрылғысы жұмыс істеу.

Тағы бір тіркесім смарт-карта жеке басын куәландыратын деректерді жергілікті көлемде сақтау және ақпараттарды өңдеу.^[8] Тағы біреуі - саусақ іздері туралы қауіпсіз сақтауды және токенизирленген босатуды біріктіретін контактісіз BLE белгісі.^[9]

USB жұмыс режимінде USB штепсельімен механикалық байланысқан кезде токенге күтім жасау қажет. Bluetooth жұмысының артықшылығы - есептен шығуды қашықтық көрсеткіштерімен үйлестіру мүмкіндігі. Тиісті өнімдер электронды баулар тұжырымдамасына сүйене отырып дайындалуда.

NFC белгілері

Далалық байланыс (NFC) жетондары Bluetooth таңбалауышымен біріктірілген бірнеше режимдерде жұмыс істей алады, осылайша қосулы және ажыратылған күйде жұмыс істейді. NFC аутентификациясы 1 футтан (0,3 метр) жақын болған кезде жұмыс істейді. NFC протоколы оқырманға қысқа қашықтықты жояды, ал Bluetooth қосылымы аутентификацияны қосу үшін токенмен деректерді беру үшін қызмет етеді. Сондай-ақ, Bluetooth сілтемесі қосылмаған кезде, токен NFC оқырманына өрескел позицияда жергілікті сақталған аутентификация туралы ақпаратты бере алады және дәл позициядан коннекторға дейін босатады.^{[дәйексөз қажет ]}

Кірудің бірыңғай таңбалауыштары

Кейбір түрлері бір рет кіру (SSO) шешімдері, сияқты бір реттік кіру, аутентификация мен парольді толығымен толтыруға мүмкіндік беретін бағдарламалық жасақтаманы сақтау үшін токенді қолданыңыз. Құпия сөздер токенде сақталғандықтан, пайдаланушылар өздерінің парольдерін есте сақтамауы керек, сондықтан қауіпсіз парольдерді таңдай алады немесе қауіпсіз парольдер тағайындайды. Әдетте көптеген таңбалауыштар парольдің криптографиялық хэшін сақтайды, егер токен бұзылса, пароль әлі де қорғалады.^{[дәйексөз қажет ]}

Бағдарламаланатын жетондар

Бағдарламаланатын таңбалауыштар Google Authenticator (miniOTP) сияқты мобильді қосымшаларды «тамшылатып» ауыстыру ретінде сатылады.^[10]). Оларды мобильді қосымшаны ауыстыру ретінде, сонымен қатар резервтік көшірме ретінде пайдалануға болады.

Осалдықтар

Деректерді қорғаудың кез-келген құралдары мен шараларын жеңуге болады. Бұл қауіпсіздік белгілеріне де қатысты. Негізгі қауіп - абайсыз операция. Пайдаланушылар қауіптің тұрақты нұсқалары туралы білуі керек.

Ұтылу және ұрлық

Кез-келген пароль контейнерінің ең қарапайым осалдығы - құрылғының ұрлануы немесе жоғалуы. Бұндай мүмкіндіктің болуы немесе күтпеген жерден болуы қауіпсіздік, физикалық қауіпсіздік шаралары, мысалы, құлыптар, электронды баулар немесе корпус сенсоры мен дабыл арқылы азаяды. Ұрланған белгілерді пайдалану арқылы пайдасыз етуге болады екі факторлы аутентификация. Әдетте, аутентификация үшін а жеке сәйкестендіру нөмірі (PIN) таңбалауыш ұсынған ақпаратпен бірге токеннің шығысымен бірге енгізілуі керек.

Шабуылдау

Пайдаланушыларға сенімді емес желі арқылы аутентификациялауға мүмкіндік беретін кез-келген жүйе (мысалы, Интернет) «ортада» шабуылдарға ұшырайды. Шабуылдың бұл түрінде алаяқ қолданушы мен заңды жүйенің «арасында» болып, заңды пайдаланушыдан таңбалауыштың шығуын сұрап алады, содан кейін оны аутентификация жүйесіне жеткізеді. Маркер мәні математикалық тұрғыдан дұрыс болғандықтан, аутентификация сәтті болып, алаяққа рұқсат беріледі. 2006 жылы Citibank жаңалықтарға жаңалықтар енгізді, оның жабдықтауышпен жабдықталған іскери қолданушылары украиналық «ортадағы адам» құрбаны болды. фишинг шабуыл.^[11]^[12]

Кодекстің бұзылуы

2012 жылы INRIA Paris-Rocquencourt-тағы Prosecco зерттеу тобы құпия кілтті бірнеше адамнан алудың тиімді әдісін жасады PKCS №11 криптографиялық құрылғылар, оның ішінде SecurID 800.^[13]^[14] Бұл тұжырымдар INRIA RR-7944, ID hal-00691958 техникалық есебінде,^[15] және CRYPTO 2012-де жарияланған.^[16]

ЭЦҚ

Кәдімгі қолмен жазылған қолтаңба ретінде сенім білдірілген ЭЦҚ қол қоюға уәкілетті адамға ғана белгілі құпия кілтпен жасалуы керек. Жеке кілттерді қауіпсіз генерациялауға және сақтауға мүмкіндік беретін таңбалауыштар қауіпсіз цифрлық қолтаңбаларды қосады, сонымен қатар пайдаланушының аутентификациясы үшін пайдаланылуы мүмкін, өйткені жеке кілт пайдаланушының жеке басын куәландырады.

Токендер қолданушыны анықтауы үшін барлық жетондарда бірегей нөмір болуы керек. Барлық тәсілдер толығымен сәйкес келмейді ЭЦҚ кейбір ұлттық заңдарға сәйкес.^{[дәйексөз қажет ]} Борттық пернетақта жоқ таңбалауыштар немесе басқалары пайдаланушы интерфейсі кейбіреулерінде қолдану мүмкін емес қол қою сценарийлер, мысалы, қаражат аударылатын банктік шот нөміріне негізделген банктік операцияны растау.

Сондай-ақ қараңыз

Әдебиеттер тізімі

^ «OnlyKey Hardware Password Manager - есте сақтау үшін бір PIN код». Тек кілт. Алынған 16 сәуір 2018.
^ RD, Token2 (2019-01-07). «Уақыттың дрейфі: TOTP жабдық таңбалауыштарының маңызды минусы». Орташа. Алынған 2020-11-21.
^ «Протектимустың шешімдері түсіндірілген және шешілген жабдықтың токендеріндегі уақыттың ауысуы». Protectimus. 2019-06-03. Алынған 2020-11-21.
^ де Борде, Дункан (2007-06-28). «Екі факторлы аутентификация» (PDF). Siemens Insight Consulting. Архивтелген түпнұсқа (PDF) 2012-01-12. Алынған 2009-01-14.
^ Интегралды микросхемалардың (карталардың) интерфейс құрылғыларына арналған сипаттама Мұрағатталды 2005-12-29 жж Wayback Machine, usb.org
^ Биба, Эрин (2005-02-14). «Сіздің көліктің кілті қауіпсіздікке қауіп төндіре ме?». PC World. Алынған 2009-01-14.
^ «Steuern der Freigabe einer Einrichtung oines eines Dienstes, ass Master ausgebildete Sendeempfangseinrichtung sowie System mit derartiger Einrichtung». dpma.de. Алынған 16 сәуір 2018.
^ [1]
^ «Biometric U2F OTP Token - HYPR». HYPR Corp. Алынған 16 сәуір 2018.
^ Бағдарламаланатын аппараттық жетондар Token2 miniOTP
^ Лейден, Джон (2006-07-13). «Фишерлер екі факторлы аутентификацияны бастайды». Тізілім. Алынған 2018-09-25.
^ Кребс, Брайан (10 шілде 2006). «Citibank Phish Spoofs 2-факторлы аутентификация». Washington Post. Алынған 2018-09-25.
^ Сенгупта, Сомини (2012-06-25). «Компьютер ғалымдары қауіпсіздік белгілерінің кілтін рекордтық мерзімде бұзды». New York Times. Алынған 2012-06-25.
^ Оуано, Нэнси (2012-06-27). «Team Prosecco қауіпсіздік белгілерін бұзады». Phys.org. Алынған 2014-03-29.
^ «Prosecco :: басылымдар». Алынған 2014-03-29.
^ «Қабылданған құжаттар CRYPTO 2012». Алынған 2014-03-29.

Жалпы сілтемелер

АҚШ жеке куәлігін растау (PIV)

Сыртқы сілтемелер

Ашық аутентификацияға арналған OATH бастамасы

[1] «OnlyKey Hardware Password Manager - есте сақтау үшін бір PIN код». Тек кілт. Алынған 16 сәуір 2018.

[2] RD, Token2 (2019-01-07). «Уақыттың дрейфі: TOTP жабдық таңбалауыштарының маңызды минусы». Орташа. Алынған 2020-11-21.

[3] «Протектимустың шешімдері түсіндірілген және шешілген жабдықтың токендеріндегі уақыттың ауысуы». Protectimus. 2019-06-03. Алынған 2020-11-21.

[4] де Борде, Дункан (2007-06-28). «Екі факторлы аутентификация» (PDF). Siemens Insight Consulting. Архивтелген түпнұсқа (PDF) 2012-01-12. Алынған 2009-01-14.

[noteusbSpec-5] Интегралды микросхемалардың (карталардың) интерфейс құрылғыларына арналған сипаттама Мұрағатталды 2005-12-29 жж Wayback Machine, usb.org

[6] Биба, Эрин (2005-02-14). «Сіздің көліктің кілті қауіпсіздікке қауіп төндіре ме?». PC World. Алынған 2009-01-14.

[7] «Steuern der Freigabe einer Einrichtung oines eines Dienstes, ass Master ausgebildete Sendeempfangseinrichtung sowie System mit derartiger Einrichtung». dpma.de. Алынған 16 сәуір 2018.

[8] [1]

[9] «Biometric U2F OTP Token - HYPR». HYPR Corp. Алынған 16 сәуір 2018.

[10] Бағдарламаланатын аппараттық жетондар Token2 miniOTP

[11] Лейден, Джон (2006-07-13). «Фишерлер екі факторлы аутентификацияны бастайды». Тізілім. Алынған 2018-09-25.

[12] Кребс, Брайан (10 шілде 2006). «Citibank Phish Spoofs 2-факторлы аутентификация». Washington Post. Алынған 2018-09-25.

[13] Сенгупта, Сомини (2012-06-25). «Компьютер ғалымдары қауіпсіздік белгілерінің кілтін рекордтық мерзімде бұзды». New York Times. Алынған 2012-06-25.

[14] Оуано, Нэнси (2012-06-27). «Team Prosecco қауіпсіздік белгілерін бұзады». Phys.org. Алынған 2014-03-29.

[15] «Prosecco :: басылымдар». Алынған 2014-03-29.

[16] «Қабылданған құжаттар CRYPTO 2012». Алынған 2014-03-29.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]