Comments 142
Как с хоста в токен передается пин-код? Если открытым текстом — все очень плохо, USB-сниффер его украдет. Если шифруется, то как?
И насколько реально сделать поддельный токен, который никакого ключа не хранит, а только принимает от юзера пин, и пересылает, допустим, по радио?
И насколько реально сделать поддельный токен, который никакого ключа не хранит, а только принимает от юзера пин, и пересылает, допустим, по радио?
В «хороших» токенах аутентификация в токене производится на основе Challege — Response с использованием криптографической схемы. То есть пин-код не передается по USB-каналу.
Другой вопрос, что проще поставить key logger, чем заморачиваться с USB-сниффером.
Другой вопрос, что проще поставить key logger, чем заморачиваться с USB-сниффером.
В некоторых системах пин-код предлагается вводить с помощью «экранной клавиатуры» (от таких затейников). А вообще все как обычно — было бы желание. Социальная инженерия способна отлично справиться с получением пин-кодов. Да и самих брелоков, при желании.
А некоторые затейники снимают скриншоты по событию «клик мыши». Как говорится, на каждую хитрую гайку…
Разработчики виртуальных клавиатур отвечают на это размножением курсоров.
Ну-ка, живой пример интересно посмотреть. Насколько это снижает юзабельность.
Очень странно, я, определенно, видел это в продукте фирмы Kaspersky. Но в домашнем антивирусе виртуальная клавиатура откровенно не безопасна. Возможно я видел такую реализацию в корпоративной версии или же в менеджере паролей от Kaspersky
Как оно хоть выглядит примерно? Никак не могу представить.
На клавиатуре вместе с вашей стрелкой плавают еще штук 50, при этом все плавают в разные стороны. Лично я не испытывал неудобств при вводе, т.к. чувствовал где мой курсор. Но я использовал это только для «побаловаться», поэтому не уверен, что это было бы удобно при постоянном использовании.
Порыскал в интернете и похоже эту функцию убрали, т.к. я её сейчас не вижу, но судя по форуму она было в 2010 версии
Порыскал в интернете и похоже эту функцию убрали, т.к. я её сейчас не вижу, но судя по форуму она было в 2010 версии
Видел экранную клавиатуру, срабатывающую на задержание курсора над кнопкой. Клики не обрабатывались вообще.
Подскажите пожалуйста, каике токены Вы относите к «хорошим»?)
Если я правильно понимаю, для операций типа «применить алгоритм с зашитым в токен ключем к данным» пин не нужен. Поэтому токен его не будет запрашивать. Поэтому его не выйдет украсть.
Пин-код от пользователя требуется только для такой крайне нетривиальной операции, как экспорт ключа из токена. И заниматься такими вещами нормальный пользователь станет только на очень доверенной машине.
Пин-код от пользователя требуется только для такой крайне нетривиальной операции, как экспорт ключа из токена. И заниматься такими вещами нормальный пользователь станет только на очень доверенной машине.
Вы не совсем правы.
Токены обычно нужны для двухфакторной аутентификации. Первый фактор — фактор владения токеном, второй фактор — фактор знания пин-кода к токену. Только при наличии двух факторов сразу система должны работать штатно. Это необходимо на случай, если токен будет украден.
Если на выполнение каких-либо операций, связанных с личностью пользователя (аутентификация, генерация ЭЦП, извлечение данных и пр.), не запрашивается пин-код, то это однофакторная аутентификация, основанная на факторе владения.
Токены обычно нужны для двухфакторной аутентификации. Первый фактор — фактор владения токеном, второй фактор — фактор знания пин-кода к токену. Только при наличии двух факторов сразу система должны работать штатно. Это необходимо на случай, если токен будет украден.
Если на выполнение каких-либо операций, связанных с личностью пользователя (аутентификация, генерация ЭЦП, извлечение данных и пр.), не запрашивается пин-код, то это однофакторная аутентификация, основанная на факторе владения.
Ну в таком случае, адекватный токен наверняка различает PIN-коды необходимые для операций, связанных с личностью пользователя и операций манипуляций ключем?
Да, часто используется несколько кодов: PIN1, PIN2 и т.д. для доступа к разным уровням операций.
Вы не могли бы поделиться ссылкой на токены, для которых используются несколько PIN-кодов для разграничения различных операций?
У Рутокена, судя по описанию:
3 уровня доступа к токену: Гость, Пользователь, Администратор(Источник: www.rutoken.ru/products/rutoken/capability/)
Да, вы правы. Пина там два: для гостя и администратора. Используется это в основном для разграничения личностей пользователей (у администратора естественно большее доступное число операций). А я, прочитав вам комментарий, подумал, что каждому отдельному пользователю выдается несколько PIN-ов, он их все держит в памяти и в зависимости от типа операции вводит определенный ПИН и более того, существуют токены постоянно использующие таковые механизмы. А это совершенно неоправданно!
Заинтриговало) Разбираюсь я в этом плохо конечно. Т.е. я так понимаю, что я могу занести в токен все пароли от интернет-сервисов, которыми я пользуюсь, почта, соц. сети, какие то то другие площадки. И грубо говоря вставляю токен в порт юсб и браузер будет считывать пароли уже с этого токена автоматически? Или тут нужна будет еще промежуточная программа типа КриптоПро? Или такое вообще нереально?)
Нет, для аутентификации по токену, разработчик web-ресурса должен предусмотреть такую возможность.
Печально, а было бы здорово, не надо пароли набирать и тем более сохранять их в браузере, токен вставил и везде авторизовался и удобно и безопасно.
habrahabr.ru/blogs/web_security/120990/ — надеюсь это начнут когда применять
было бы здорово как опцию выпускать такие штуки для пейпала и прочих платежных систем или для использования онлайн банком
И выпускают, и используют. Только банки часто считают, что для пользователей-физлиц токен — излишняя мера безопасности.
Поправочка: физ. лица считают, что это слишком дорогая мера безопасности.
Да, есть такое дело. Корни этой проблемы видимо лежат в нашем законодательстве, по которому клиент отвечает за свои деньги сам. А вот если бы банк должен был компенсировать кражи денег из его информационной системы, а ведь клиент-банк это его информационная система, тогда я думаю, токены заполонили бы все :)
Должен банк возмещать деньги или нет зависит от договора с клиентом. ВТБ24 (не реклама) почти во всех случаях возмещает деньги клиенту. Но тут чисто политический вопрос. Когда мошенник ворует деньги со счета клиента банка, то пострадавшим считается клиент банка (простите за тавтологию). Если банк вернул деньги клиенту, то пострадавшим считается уже банк. В таком случае банк от своего имени может писать заявление в полицию. Физические же лица не любят разбираться с полицией и судами.
С юридическими лицами все наоборот. Там суммы воруемых денег значительно больше и часто клиенты сами у себя «воруют» деньги (отмывание денег, черная бухгалтерия и прочее..). Поэтому возмещать им убытки банки не спешат. А в полицию организации идут еще менее охотно, нежели физические лица, потому что не хотят лишних проверок счетов и деятельности фирмы.
С юридическими лицами все наоборот. Там суммы воруемых денег значительно больше и часто клиенты сами у себя «воруют» деньги (отмывание денег, черная бухгалтерия и прочее..). Поэтому возмещать им убытки банки не спешат. А в полицию организации идут еще менее охотно, нежели физические лица, потому что не хотят лишних проверок счетов и деятельности фирмы.
Есть «правила игры» устанавливаемые государством. А по доброй воле кто же на себя такие обязательства возьмет, особенно в стране с ярко выраженной «рыночной экономикой» :)
Ага, особенно в ситуации, когда клиенты могут преспокойненько «воровать» сами у себя (см. выше), и государство пока не имеет эффективных механизмов, ограничивающих этот процесс. В таких случаях государству надо быть полным идиотом, чтобы принять «правила игры», вводящие безусловную ответственность банков за игры клиентов в фиктивные кражи.
то есть вы предпочитаете ситуацию, когда банк преспокойно может воровать деньги клиентов списывая это на них же самих?
токен, как средство формирования эцп, имеет массу полезных свойств.
1) банк не сможет списать деньги с вашего счета без эцп сформированным в вашем устройстве.
2) вы не сможете отказаться от подписи сформированной в вашем устройстве
эти два свойства помогут установить вполне разумные правила игры, отражающие интересы обоих сторон.
токен, как средство формирования эцп, имеет массу полезных свойств.
1) банк не сможет списать деньги с вашего счета без эцп сформированным в вашем устройстве.
2) вы не сможете отказаться от подписи сформированной в вашем устройстве
эти два свойства помогут установить вполне разумные правила игры, отражающие интересы обоих сторон.
то есть вы предпочитаете ситуацию, когда банк преспокойно может воровать деньги клиентов списывая это на них же самих?Подскажите, как банк умудрится своровать деньги клиентов, списывая это на них же самих? ЭЦП уже отменили? Или банковские айтишники шутя умеют вычислять закрытый ключ ЭЦП по имеющемуся у них открытому? С огромным любопытством выслушаю технологию. И, думаю, не я один — весь мир прильнет к экранам мониторов. ;)
токен, как средство формирования эцп, имеет массу полезных свойств.Вы не меняйте тему. Мы сейчас не о достоинствах токена спорим.
Кроме того, перечисленные вами достоинства свойственны не только токенам, но и обычным программным средствам с хранением ключей на флешке/CD/жестком диске.
А я с вами не спорю. Я выражаю свою точку зрения, вы свою.
Вообще-то в русском языке ваше поведение называется «спорить». См. gramota.ru:
Во-вторых, вы так и не ответили на уточняющие вопросы по вашей точке зрения. Следует ли из этого, что вам нечем ее обосновать и она является таким же продуктом вашей фантазии, как и ваши домыслы, приписываемые Volosatik'у (см. ниже)?
Спорить — возражать кому-л., доказывать что-л.
Во-вторых, вы так и не ответили на уточняющие вопросы по вашей точке зрения. Следует ли из этого, что вам нечем ее обосновать и она является таким же продуктом вашей фантазии, как и ваши домыслы, приписываемые Volosatik'у (см. ниже)?
А вот если бы банк должен был компенсировать кражи денег из его информационной системы, ...… то кол-во краж из банка увеличилось бы на много порядков, причем в 99.99% случаев это были бы мнимые кражи.
тогда я думаю, токены заполонили бы все :)Токен в руках бестолкового клиента — не защита:
— При отсутствии минимальной защиты (фаервол и антивирус, причем правильно настроенные) над его компьютером будет получено удаленное управление
— Токен такой клиент имеет привычку вообще не вынимать из USB (зачем ему лишние телодвижения?).
Рассказывали случай, как один клиент случайно успел увидеть, как с его компьютера при помощи удаленного управления «тырили» деньги. Т.е. на экране монитора он своими глазами видел, как кто-то невидимый оформляет платежку, подписывает ее ЭЦП и отправляет в банк. Пришедший в себя от такого «кино» клиент позвонил в банк и тормознул платежку. А ведь если бы не случайность — денежки бы точно уплыли.
по статистике, которая звучит на различных форумах банковской безопасности, кража денег в системах, где используется подпись на токене составляет менее 1 процента от всех краж в системах ДБО. Абсолютной защиты не бывает, однако, цифры говорят сами за себя.
Не аргумент. Пока у других (не токен-пользователей) ключи ЭЦП открыто валяются на жестком диске, красть деньги у них гораздо удобнее и комфортнее, чем у токен-пользователей. Ибо скопировав ключи, злоумышленник может красть в любое удобное для него время, находясь в любом удобном для него месте. А раз так, то зачем ему возиться с токенами? Отсюда и низкая статистика.
После же сплошной токенизации населения злоумышленники будут красть уже исключительно у токен-пользователей. Ибо 100%-ой защиты токен не предоставляет (да вы и сами подтверждаете это статистикой). Так в чем я неправ, говоря «Токен в руках бестолкового клиента — не защита»?
После же сплошной токенизации населения злоумышленники будут красть уже исключительно у токен-пользователей. Ибо 100%-ой защиты токен не предоставляет (да вы и сами подтверждаете это статистикой). Так в чем я неправ, говоря «Токен в руках бестолкового клиента — не защита»?
ответил ниже…
Ниже — это где? Ссылочку, пожалуйста, а то нигде ваших контраргументов не увидел.
Попытайтесь взглянуть шире на проблему, составить модель нарушителя в системе ДБО. Вы увидите, что нарушитель это не только хакер с шпионским ПО. И от некоторых угроз токен весьма эффективная защита. Например, от бывшего сотрудника организации.
Вы увидите, что нарушитель это не только хакер с шпионским ПО.Я с этим где-то спорил?
И от некоторых угроз токен весьма эффективная защита.Я с этим где-то спорил?
Это что — такая уловка? Вместо приведения контраргументов сказать пару очевидных фраз (спасибо, кэп!), которые оппонент никогда даже не ставил под сомнение, и думать, что этим все доказано?
Напоминаю проигнорированный вами вопрос:
Так в чем я неправ, говоря «Токен в руках бестолкового клиента — не защита»?
Как видите, мое утверждение не противоречит ни одному из приведенных сейчас вами псевдоаргументов.
кстати пейпал выпускает «черный ящик», после ввода пароля на сайте еще необходимо ввести цифры с этой штуки: 
полагаю, что русскоязычному пользователю много веселее будет пользоваться WibuKey
Грубо говоря, сервер шлет вам случайное число, токен его шифрует с использованием пароля, отправляет результат обратно. Сервер проделывает то же самое, сравнивает результат. Пароль не покидает пределов токена.
Подобным образом работает аутентификация в сотовых сетях. SIM-карта, по сути, тот же токен, только без usb-интерфейса.
Подобным образом работает аутентификация в сотовых сетях. SIM-карта, по сути, тот же токен, только без usb-интерфейса.
Поддерживают ли работу с токенами текущие браузеры? Если да — то все ли?
У вас есть токен, в нем есть секретный ключ и сертификат. Сертификат вы можете из токена получить, и он публичный. Этот сертификат вы рассылаете всем сторонам, заинтересованным в доверительном канале передачи с вами. Такие же сертификаты они отправляют и вам.
Тут есть один нюанс, для любого популярного ресурса, инфраструктура для такого постоянного шифрования-дешифрования требует ощутимых вложений.
И, в принципе, до кучи еще проблем — токен можно потерять, и тогда «все пропало». Реально, все.
На самом деле эти токены недалеко ушли от цифрового паспорта, которых все так боятся.
Но, конечно, и плюсы внушительные.
Тут есть один нюанс, для любого популярного ресурса, инфраструктура для такого постоянного шифрования-дешифрования требует ощутимых вложений.
И, в принципе, до кучи еще проблем — токен можно потерять, и тогда «все пропало». Реально, все.
На самом деле эти токены недалеко ушли от цифрового паспорта, которых все так боятся.
Но, конечно, и плюсы внушительные.
habrahabr.ru/blogs/web_security/120990/ — PKI инфраструктура не обязательна. Открытый ключ сервер может хранить у себя в базе, если он конечно сам себе доверяет :)
UFO just landed and posted this here
Это OTP токен, другое устройство по своей сути.
UFO just landed and posted this here
На OTP-токены есть ряд известных и легко реализуемых атак.
Например, если OTP-токен формирует Event Based OTP, то злоумышленник может в тайне от пользователя сгенерировать один-два OTP значения, запомнить/переписать их и воспользоваться.
Если злоумышленнику не удалось ими воспользоваться, то пользователь об этом не узнает в силу специфики работы с Event Based OTP.
C Time Based существует временной интервал, в течение которого действует OTP значение и т. п.
Нормальный криптографический токен в любом случае надежнее.
Например, если OTP-токен формирует Event Based OTP, то злоумышленник может в тайне от пользователя сгенерировать один-два OTP значения, запомнить/переписать их и воспользоваться.
Если злоумышленнику не удалось ими воспользоваться, то пользователь об этом не узнает в силу специфики работы с Event Based OTP.
C Time Based существует временной интервал, в течение которого действует OTP значение и т. п.
Нормальный криптографический токен в любом случае надежнее.
UFO just landed and posted this here
Но я Вас умоляю, при тех затратах для злоумышленника для подбора корректной последовательности, проще дать ключеносцу кирпичом по черепушке.
Здесь именно в том и дело, что OTP значения генерируются при помощи OTP-токена пользователя. Например, подходим к столу зазевавшегося пользователя, берем его OTP-токен, нажимаем на кнопку генерации OTP и запоминаем 6 цифр OTP.
Пока пользователь не аутентифицируется в системе с новым OTP — этот будет действителен. И Админ сможет узнать только при разборе инцидента, когда будет уже поздно.
Ну так кроме ключа с токена злоумышленник еще и должен знать пароль юзера и пин к токену.
Мало того, при успешной аутентификации этот ключ становится недействительным (хотя, наверное, это зависит от настроек сервера).
OTP сделаны для того, чтобы можно было не опасаться за их перехват при передаче по каналам связи. При передаче Event Based OTP с какими угодно доп. параметрами (пин, соль или еще что-то) будет временной интервал, в течение которого OTP будет действовать.
Здесь именно в том и дело, что OTP значения генерируются при помощи OTP-токена пользователя. Например, подходим к столу зазевавшегося пользователя, берем его OTP-токен, нажимаем на кнопку генерации OTP и запоминаем 6 цифр OTP.
Пока пользователь не аутентифицируется в системе с новым OTP — этот будет действителен. И Админ сможет узнать только при разборе инцидента, когда будет уже поздно.
Ну так кроме ключа с токена злоумышленник еще и должен знать пароль юзера и пин к токену.
Мало того, при успешной аутентификации этот ключ становится недействительным (хотя, наверное, это зависит от настроек сервера).
OTP сделаны для того, чтобы можно было не опасаться за их перехват при передаче по каналам связи. При передаче Event Based OTP с какими угодно доп. параметрами (пин, соль или еще что-то) будет временной интервал, в течение которого OTP будет действовать.
Извините что встреваю, но у RSA нет кнопки — цифры там меняются каждые 60 сек, следовательно время жизни пароля — 120 сек. Другое дело что их (RSA) взломали и база хешей токенов утекла, по слухам.
Согласен что OTP токен не замена USB, но для замены пароля — имхо самое то — просто для юзера, просто для админа, кейлоггеры курят — что еще нужно?
Согласен что OTP токен не замена USB, но для замены пароля — имхо самое то — просто для юзера, просто для админа, кейлоггеры курят — что еще нужно?
А есть OTP токены, которые можно использовать в схеме один токен — несколько ресурсов?
Ну так другой логин/пароль на другой ресурс и все дела, а токен может быть тем же.
Как мне кажется ситуация немного сложнее. Каждая пара токен-сервер должна обладать секретом. То есть владелец токена должен сообщить свой секрет разным ресурсам, в некоторых случаях это недопустимо с точки зрения безопасности. Возможно так же потребуется что бы сервера имели синхронизированное время.
В зависимости от реализации: иногда передается в открытом виде, иногда используется протокол ФКН, который осуществляет взаимную аутентификацию программы и самого токена и шифрует трафик на сеансовом ключе.
Чтобы сделать такой токен как вы описали, придется потратить много времени (чисто мое мнение, в построении железок я не специалист), еще и нужно подсунуть его жертве.
Чтобы сделать такой токен как вы описали, придется потратить много времени (чисто мое мнение, в построении железок я не специалист), еще и нужно подсунуть его жертве.
Нет, для аутентификации по токену, разработчик web-ресурса должен предусмотреть такую возможность.
Как относится usb-токен к воздействиям окружающей среды?
Например: воздействие влаги, агрессивных сред, высоких и низких температур, магнитных и электрических полей, статического электричества, падений с высоты, вибрации и т.д.
Например: воздействие влаги, агрессивных сред, высоких и низких температур, магнитных и электрических полей, статического электричества, падений с высоты, вибрации и т.д.
С токеном тока одна проблема — постоянно забываю то принести из дома, то забрать с работы.
Попробуйте носить его вместе с ключами как единое целое:)
Существуют ли токены со встроенными биометрическими сканерами?
Существуют, конечно.
Спасибо, Капитан! А ссылкой не поделитесь?
Раз уж нарек ты меня Капитаном, то получай: набери в гугле 'fingerprint token', 'biometric token'
Сам спрашивал, сам отвечаю :) Такие токены действительно есть, причем гораздо больше, чем я ожидал. Например:
safetok.com/solutions/biometric.html
www.ftsafe.com/products/biopass.html
www.softlock.net/default.aspx?DocSN=eSign-Smart-Token
Таким образом, самые отъявленные параноики могут организовать трехфакторную аутентификацию: токен + пин-код + биометрия.
safetok.com/solutions/biometric.html
www.ftsafe.com/products/biopass.html
www.softlock.net/default.aspx?DocSN=eSign-Smart-Token
Таким образом, самые отъявленные параноики могут организовать трехфакторную аутентификацию: токен + пин-код + биометрия.
Как правило, в таких комбайнах датчик дешевенький, легко поддается обману. И применяют биометрию для замены пину чаще, а не для добавления фактора. Но никто не мешает и трехфакторную сделать, да -)
Приятно конечно, что кто-то заморочился насчет биометрии в токенах. Однако, безопасности особой это не прибавляет, а цену точно увеличивает. Аргументирую. В биометрических токенах применяется распознавание отпечатков пальцев. Из статьи «Impact of artificial gummy fingers on fingerprint systems» японских авторов Matsumoto T., Matsumoto H. известно, что способ этот легко обходится. Вот ссылка с картинками: web.mit.edu/6.857/OldStuff/Fall03/ref/gummy-slides.pdf
Я считаю, полезность в том, что от пользователя требуется некоторое физическое действие (а не чисто программное), чтобы выполнить операцию (чтение отпечатка). Но его легко можно заменить на кнопку на токене, чтобы требовалось ввести (или закешировать) пин, нажать кнопку и, ура, операция свершилась. Способ явно более дешевый, более стойкий к механическим поломкам устройства. А по уровню безопасности примерно одинаковый, имхо.
Я считаю, полезность в том, что от пользователя требуется некоторое физическое действие (а не чисто программное), чтобы выполнить операцию (чтение отпечатка). Но его легко можно заменить на кнопку на токене, чтобы требовалось ввести (или закешировать) пин, нажать кнопку и, ура, операция свершилась. Способ явно более дешевый, более стойкий к механическим поломкам устройства. А по уровню безопасности примерно одинаковый, имхо.
в хороших токенах должен быть аппаратный генератор случайных чисел, так ведь?
и да, вот вы пишите «Его можно сравнить с микрокомпьютером». будем честными, на деле — это микроконтроллер, конечный автомат, не более.
и да, вот вы пишите «Его можно сравнить с микрокомпьютером». будем честными, на деле — это микроконтроллер, конечный автомат, не более.
Как то раз один банк прислал инструкцию к своему токену. Там было написано, что надо предварительно удалить драйверы от всех других токенов других производителей, в то время как на том же компьютере использовался токен от другого банка. Не знаю насколько эта ситуация распространена, но при широком использовании на сайтах такая проблема, наверное, может возникнуть.
Да, вы правы. Генератор и должен быть и, что особенно вдохновляет, есть в токенах!
Моя фраза носит чисто иллюстрационный характер. Да, там микроконтроллер, со своей «прошивкой» и т.д.
Моя фраза носит чисто иллюстрационный характер. Да, там микроконтроллер, со своей «прошивкой» и т.д.
Все алгоритмы шифрования открыты и общедоступны. Существуют ли open-source реализации токенов? Имеется в виду не код библиотеки и драйверов (хотя куда же без них?), а прошивка самого USB-«свистка».
Согласен, но отчасти.
Во-первых, в используемых для аутентификации токенах не должно быть никакой возможности экспорта ключа. Во-вторых, должны использоваться открытые алгоритмы и технологии, а не кривое только-под-винду-Xp проприетарное ПО.
И на токене должна быть железная кнопка для ответа на запрос хоста — чтобы трояны не могли подбирать потихоньку пароль.
Ну и нужны дополнения в HTTP протокол, чтобы веб-сервисы поддерживали Challenge-Response. Тогда можно было бы отказаться от логинов/регистраций: такие данные, как email и имя хранились бы в токене, вход на сайт и регистрация происходили бы автоматически при вставленном токене.
Потерялся бы смысл в фишинге, троянах для воровства паролей. Не надо было бы запоминать или записывать сложные пароли. Имея несколько токенов, можно легко перелогиниваться. Пользвоателям было бы проще и безопаснее жить.
Во-первых, в используемых для аутентификации токенах не должно быть никакой возможности экспорта ключа. Во-вторых, должны использоваться открытые алгоритмы и технологии, а не кривое только-под-винду-Xp проприетарное ПО.
И на токене должна быть железная кнопка для ответа на запрос хоста — чтобы трояны не могли подбирать потихоньку пароль.
Ну и нужны дополнения в HTTP протокол, чтобы веб-сервисы поддерживали Challenge-Response. Тогда можно было бы отказаться от логинов/регистраций: такие данные, как email и имя хранились бы в токене, вход на сайт и регистрация происходили бы автоматически при вставленном токене.
Потерялся бы смысл в фишинге, троянах для воровства паролей. Не надо было бы запоминать или записывать сложные пароли. Имея несколько токенов, можно легко перелогиниваться. Пользвоателям было бы проще и безопаснее жить.
Если токены используются чисто для аутентификации, то ключ не экспортируется ни при каких условиях. Алгоритмы шифрования все открыты, технологии зачастую открываются разработчиками.
Про кнопку согласен с вами, существуют токены как с кнопками так и без. Каждый разработчик выбирает сам, реализовывать кнопку или нет. Токены без кнопки, естественно, стоят дешевле.
Уровня автоматизма, о котором вы пишете можно добиться и без дополнении в http протокол. Главное, чтобы у человека не существовало несколько почтовых ящиков, например, на mail.ru. И таковые решения уже существуют.
По последнему абзацу согласен на все сто. И здесь очень необходима помощь самих владельцев Интернет сервисов!
Про кнопку согласен с вами, существуют токены как с кнопками так и без. Каждый разработчик выбирает сам, реализовывать кнопку или нет. Токены без кнопки, естественно, стоят дешевле.
Уровня автоматизма, о котором вы пишете можно добиться и без дополнении в http протокол. Главное, чтобы у человека не существовало несколько почтовых ящиков, например, на mail.ru. И таковые решения уже существуют.
По последнему абзацу согласен на все сто. И здесь очень необходима помощь самих владельцев Интернет сервисов!
Изменений в протокол может и не понадобиться, а вот поддержка таких методов аутентификации разработчиками (владельцами) ресурсов конечно необходимо.
UFO just landed and posted this here
За один день бабушке этого не объяснить. Бабушке даже толком не объяснить зачем ей почтовый ящик:) Конечно, целесообразность приобретения токена не для всех очевидна. Но не стоит забывать, что токены не только для аутентификации, с ними можно городить очень хитрые решения, обеспечивающие комплексную безопасность пользователя.
Вот как раз таки бабушкам на-а-амного проще обьяснить, что для входа на сайт нужно поставить флешку, чем заставить придумывать и помнить криптостойкие пароли и логины.
Хотел насчет винрара и запароленных архивов заметить, что при распаковке, данные складываются в %TEMP%. И не надо никаких логгеров.
Запароленный .rar упомянут как пример совсем уж колхозного решения. Если цель — аутентификация, обычно используют менеджеры паролей, которые ничего лишнего на диск не пишут. Основное преимущество токенов — не защита от логгеров (пин достаточно легко перехватить, выше в комментах как раз сейчас это обсуждают), а защита от брутфорса, так как дается всего несколько попыток на ввод пин-кода. А к запароленному архиву или базе какого-нибудь KeePass'а можно подбирать пароль до победного конца.
Я с Вами полностью согласен, сам работал в банковсом айти и переводил клиентов с дискеток на токены.
Я слышал, что ключевая дискета — это не просто дискета, на которой лежит ключ, но еще определенным образом поцарапанная, чтобы ее нельзя было скопировать, т.к. конфигурация бэд-блоков от царапины — часть ключевой информации. Это правда?
думаю вполне возможно, в одной из старых книжек по паскалю, простите, но забыл название, был пример использования таких специально поцарапанных дискет. Правда там в контексте защиты от копирования.
Сейчас уже не так, у сбера допустим дискета просто копируется.
А во времена Dos'а видел своими глазами дискету на которой лазером был прожжен рисунок ключевой, и бэды считывались как ключ.
А во времена Dos'а видел своими глазами дискету на которой лазером был прожжен рисунок ключевой, и бэды считывались как ключ.
Подавляющее большинство банков использует стандартные криптопровайдеры — КриптоПро, Криптоком и т.п.
Соответственно, все требования к дискетам определяются криптопровайдером. Лично я не знаю на сегодняшний день ни одного, который бы умел использовать «царапины на дискетах». Максимум — номер носителя, но он копируется обычным переносом образа дискеты.
Соответственно, все требования к дискетам определяются криптопровайдером. Лично я не знаю на сегодняшний день ни одного, который бы умел использовать «царапины на дискетах». Максимум — номер носителя, но он копируется обычным переносом образа дискеты.
Киленты с дискеток на токены переходят без разговоров. Дисководы 3,5'' в компьютерах встречаются все реже и реже. Надо идти в ногу со временем. Да и ненадежны эти дискетки — все время ломаются. С другой стороны вместо дискеток можно использовать обычные USB-флешки (не токены).
Кстати, а есть какой-либо софт, эмулирующий USB-токен? Помните, в свое время очень удобно было эмулировать CD, DVD-диски? А то иногда бывает, что торчит свисток модема из ноутбука и токен уже не воткнещь, а если 2 токена (банк-клиент и инвест-рынки), то уже приходится жертвовать мышкой.
USB hub?
Хм… Как бы вам объяснить. Тут возможны 2 варианта:
1) Вы не понимаете, в чем смысл токена, зачем он имеет свой процессор и т.д. Перечитайте статью и купите USB-хаб, ибо ответ: «Нет, такого софта не существует». Или не используйте токен, а авторизуйтесь по паролю, если вам все равно.
2) Вы все это прекрасно понимаете, но решили всех обхитрить, т.к. без токена банк-клиент не работает, а лишних портов нет. Ответ все равно: «Нет, такого софта не существует», поскольку никто не заинтересован в снижении защищенности системы, которое неизбежно наступит, когда пользователи начнут использовать эмуляторы вместо токенов.
1) Вы не понимаете, в чем смысл токена, зачем он имеет свой процессор и т.д. Перечитайте статью и купите USB-хаб, ибо ответ: «Нет, такого софта не существует». Или не используйте токен, а авторизуйтесь по паролю, если вам все равно.
2) Вы все это прекрасно понимаете, но решили всех обхитрить, т.к. без токена банк-клиент не работает, а лишних портов нет. Ответ все равно: «Нет, такого софта не существует», поскольку никто не заинтересован в снижении защищенности системы, которое неизбежно наступит, когда пользователи начнут использовать эмуляторы вместо токенов.
И слава богу, и надеюсь что не будет.
Хотя токены, используемые для защиты ПО от копирования (HASP, например), с переменным успехом эмулируются. Отгадайте с трех раз, кому это нужно :)
Я как раз второй вариант.
Вы не совсем правы.
Программные токены существуют. Они так и называются — Software Token. Но они используются немного для других целей в основном в средах Enterprise.
Пример: инфраструктуры предприятия настроена только на аутентификацию по сертификатам. Ключи всех сотрудников на токенах. Сотрудник поехал в командировку и сломал/потерял токен.
Решение: администратор формирует сотруднику Software Token, который действует только в течение короткого промежутка времени (1-2 дня) и высылает ему по открытым каналам. Сам «токен» под паролем. Непосредственно работу с Software Token осуществляют драйвера от нормального «токена».
Зачем?: чтобы инфраструктура предприятия работала и сотрудник мог осуществлять свою деятельность вне зависимости от нештатных ситуаций.
Пруф: см. Виртуальный токен
Программные токены существуют. Они так и называются — Software Token. Но они используются немного для других целей в основном в средах Enterprise.
Пример: инфраструктуры предприятия настроена только на аутентификацию по сертификатам. Ключи всех сотрудников на токенах. Сотрудник поехал в командировку и сломал/потерял токен.
Решение: администратор формирует сотруднику Software Token, который действует только в течение короткого промежутка времени (1-2 дня) и высылает ему по открытым каналам. Сам «токен» под паролем. Непосредственно работу с Software Token осуществляют драйвера от нормального «токена».
Зачем?: чтобы инфраструктура предприятия работала и сотрудник мог осуществлять свою деятельность вне зависимости от нештатных ситуаций.
Пруф: см. Виртуальный токен
вообще во многом согласен с автором, только вот проблема такая, что токен — физический, за него нужно заплатить и получить, грамотно использовать и его можно потерять/ могут украсть… при таком раскладе выходит, что мы теряем некоторое количество клиентов… а это в большинстве случаев неприемлемо… вот еще проблема сходу: как насчет процедуры восстановления токена? как она проходит? очевидно же что слабое место…
Я не против, я просто к тому что все это увеличивает порог вхождения…
да, и еще. что бы ни придумывали криптоаналитики и прочие умельцы для защиты, всегда найдется некто, кто это защиту рано или поздно сломает…
зы: оочень не хочу раздувать холивар. просто поделился мнением)
Я не против, я просто к тому что все это увеличивает порог вхождения…
да, и еще. что бы ни придумывали криптоаналитики и прочие умельцы для защиты, всегда найдется некто, кто это защиту рано или поздно сломает…
зы: оочень не хочу раздувать холивар. просто поделился мнением)
Ближе всего к описанной ситуации повсеместного введения токенов — использование Sim-карт для мобильной связи.
1) Стоимость снижена до минимума, за счет массовости. Часто карта бесплатна для пользователя, за нее платит поставщик услуг.
2) Потеряли-украли? Не беда. Двухфакторная аутентификация не даст воспользоваться вашей картой никому кроме вас.
3) Восстановление тоже довольно просто: генерируется новый ключ, а старый аннулируется. Естественно, после того, как вы подтвердите, что вы — это вы.
4) Смысл защиты не в том, чтобы ее нельзя было преодолеть, а в том, чтобы это было нерентабельно. И в sim-картах это на сегодняшний день достигнуто: затраты на извлечение ключа (нес-ко десятков тысяч $) не окупятся при использовании этого ключа злоумышленником.
1) Стоимость снижена до минимума, за счет массовости. Часто карта бесплатна для пользователя, за нее платит поставщик услуг.
2) Потеряли-украли? Не беда. Двухфакторная аутентификация не даст воспользоваться вашей картой никому кроме вас.
3) Восстановление тоже довольно просто: генерируется новый ключ, а старый аннулируется. Естественно, после того, как вы подтвердите, что вы — это вы.
4) Смысл защиты не в том, чтобы ее нельзя было преодолеть, а в том, чтобы это было нерентабельно. И в sim-картах это на сегодняшний день достигнуто: затраты на извлечение ключа (нес-ко десятков тысяч $) не окупятся при использовании этого ключа злоумышленником.
Токен не панацея. Мало иметь «правильно сделанный токен», мало знать как он работает, надо уметь им пользоваться. Если штатному бухгалтеру дать токен и сказать, что он повысит безопасность, то толку от этого будет не больше, чем если отклеить бумажку с паролем от монитора и спрятать ее под клавиатуру.
Непросвещенный пользователь получает «супер надежное и защищенное устройство, с которого невозможно скопировать пароль, которое защитит счет организации от интернет-мошенничества», смотрит на этот токен как на святая святых, вставляет в USB-порт и… всё. Считает, что он «в домике» и ему ничего не страшно.
В такой ситуации злоумышленнику не важно, что это за токен, какой там алгоритм шифрования, скольки факиторная авторизация… это все лишние вопросы. Пользователь УЖЕ вставил токен, УЖЕ ввел пароль, УЖЕ прислонил палец/сетчатку глаза к биометрическому датчику. Токен уже готов работать, он ждет входных данных, чтобы зашифровать их своим ключом и отправить в интернет-банк. Любой троян просто дождется, когда пользователь сам залогинится в онлайн-банкинге и сам пройдет все круги авторизации. А вот потом в фоновом режиме отправляются все нужные платежки.
В особо изощренных случаях видел софт, работа которого похожа на работу программы Radmin. Вирус просто ждет бездействия компьютера, а потом управление машиной перехватывается. И горе, если токен все еще торчит, а бухгалтер пьет чай с плюшками.
Непросвещенный пользователь получает «супер надежное и защищенное устройство, с которого невозможно скопировать пароль, которое защитит счет организации от интернет-мошенничества», смотрит на этот токен как на святая святых, вставляет в USB-порт и… всё. Считает, что он «в домике» и ему ничего не страшно.
В такой ситуации злоумышленнику не важно, что это за токен, какой там алгоритм шифрования, скольки факиторная авторизация… это все лишние вопросы. Пользователь УЖЕ вставил токен, УЖЕ ввел пароль, УЖЕ прислонил палец/сетчатку глаза к биометрическому датчику. Токен уже готов работать, он ждет входных данных, чтобы зашифровать их своим ключом и отправить в интернет-банк. Любой троян просто дождется, когда пользователь сам залогинится в онлайн-банкинге и сам пройдет все круги авторизации. А вот потом в фоновом режиме отправляются все нужные платежки.
В особо изощренных случаях видел софт, работа которого похожа на работу программы Radmin. Вирус просто ждет бездействия компьютера, а потом управление машиной перехватывается. И горе, если токен все еще торчит, а бухгалтер пьет чай с плюшками.
А при чем тут токен вообще? Тут уже работа антивируса, а не токена.
А при том, что (читаем заключение автора заметки):
Уверен, что при распространенности решений на основе токенов удастся… увеличить уровень безопасности в глобальном смысле.Так вот Volosatik совершенно верно обратил внимание на очень важный нюанс: уровень безопасности повысится только у более-менее грамотных клиентов, для остальных же уровень безопасности останется на прежнем уровне.
Отлично объяснено. Выше я попытался то же самое сказать, но у вас получилось гораздо лучше!
Просто собрав пароли кейлогерам платежи можно выполнять где угодно, если же требуется токен, все становится значительно сложнее. Следуя вашей логике, что злоумышленник всесилен, можно и вообще не использовать пароли. Зачем? Все равно украдут… :)
Следуя вашей логике, что злоумышленник всесилен, можно и вообще не использовать пароли.Если не трудно, покажите, пожалуйста, исходные цитаты, из которых можно сделать столь ошеломляющие выводы? Я, например, даже близко ничего нашел.
>уровень безопасности повысится только у более-менее грамотных клиентов, для остальных же уровень безопасности останется на прежнем уровне.
уровень безопасности информационных систем, использующих для аутентификации, цифровой подписи ишифрования токены выше, чем без них при всех прочих равных условиях.
уровень безопасности информационных систем, использующих для аутентификации, цифровой подписи ишифрования токены выше, чем без них при всех прочих равных условиях.
Во-первых, почему вы привели мою цитату? Свои домыслы вы приписали Volosatik'у и поэтому именно его цитаты и должны были привести.
Во-вторых, каким образом из приведенной вами моей цитаты следует, что злоумышленник всесилен? Может покажете всем полет вашей логической мысли? ;)
Во-вторых, каким образом из приведенной вами моей цитаты следует, что злоумышленник всесилен? Может покажете всем полет вашей логической мысли? ;)
Уважаемое pusto, я рад что у вы настолько внимательны. Вы по существу вопроса можете что-то сказать?
Это, конечно, очень ценно — сообщить всем свои эмоции по поводу моей внимательности. :)))
Но даже эта жизненно «необходимая» для обсуждения :) информация — не повод увиливать от цитат, подтверждающих ваши домыслы в чужой адрес.
Ответьте прямо: подтверждаются ваши утверждения-домыслы хоть чем-то или нет?
Но даже эта жизненно «необходимая» для обсуждения :) информация — не повод увиливать от цитат, подтверждающих ваши домыслы в чужой адрес.
Ответьте прямо: подтверждаются ваши утверждения-домыслы хоть чем-то или нет?
Вы по существу вопроса можете что-то сказать?Если вы не в курсе, то в обсуждениях разбор утверждений/аргументов/контраргументов оппонента — это и есть разговор по существу. И если его избегать — это уже не обсуждение получится, а балаган какой-то: каждый сочиняет всё, что хочет, а других не слушает.
Кстати, надежность токена (в частности eToken-а) многие уже испытали.
К примеру, пришли к нам в фирму за ЭЦП компания, попросили записать подпись на их флешку, объясняя это тем, что они «уже так делали». Ну хорошо, как скажете: запишем.
Через полторы недели звонят: «ааааааа! где ключи!!! их ваще вы на флешку не записали! Как могли!!! Уроды, сволочи, у нас тендер по срокам горит! Чо делать!»
Привозят флешку… действительно, ключа нет.
И только через неделю выяснилось, что бухгалтер домой носила флешку, а сыниша её заюзал… Мы им предложили токен, чтобы не повторялось подобного. Счас всё норм…
для меня это показатель
К примеру, пришли к нам в фирму за ЭЦП компания, попросили записать подпись на их флешку, объясняя это тем, что они «уже так делали». Ну хорошо, как скажете: запишем.
Через полторы недели звонят: «ааааааа! где ключи!!! их ваще вы на флешку не записали! Как могли!!! Уроды, сволочи, у нас тендер по срокам горит! Чо делать!»
Привозят флешку… действительно, ключа нет.
И только через неделю выяснилось, что бухгалтер домой носила флешку, а сыниша её заюзал… Мы им предложили токен, чтобы не повторялось подобного. Счас всё норм…
для меня это показатель
Спасибо за статью!
А можете что-нибудь сказать про использовании password manager'ов совместно с токенами? Встречал решения, которые заявляли — «мы умеем хранить мастеркей на токене».
Не приходилось такого делать?
А можете что-нибудь сказать про использовании password manager'ов совместно с токенами? Встречал решения, которые заявляли — «мы умеем хранить мастеркей на токене».
Не приходилось такого делать?
Пожалуйста! Не исключено, что таковые решения существуют. Но лично я с ними не сталкивался. Если наткнетесь, скиньте пожалуйста ссылку, любопытно будет взглянуть.
Ну из того, что пока нарыл:
eToken Web Sign-On от Aladdin.
Стоит денег, но небольших — 990 рублей за комплект, + 177 рублей за каждое дополнительное место.
здесь рассказывают, как можно скрестить KeePass с токеном.
А здесь — как прикрутить токен к SSH.
Ну и решения от RSA, но я пока не разбирался, куда и как его можно прикрутить для частного использования.
eToken Web Sign-On от Aladdin.
Стоит денег, но небольших — 990 рублей за комплект, + 177 рублей за каждое дополнительное место.
здесь рассказывают, как можно скрестить KeePass с токеном.
А здесь — как прикрутить токен к SSH.
Ну и решения от RSA, но я пока не разбирался, куда и как его можно прикрутить для частного использования.
Sign up to leave a comment.
Токены vs Пароли