Токены vs Пароли

    Пост навеян недавней темой про токены, в комментариях к которой царила некоторая неразбериха. Я сделал вывод, что многие не до конца понимают или даже вообще не понимают, что такое токен, с чем его едят и чем токен не является. Желание расставить все точки над i привело к написанию нижеследующего текста. Далее речь пойдет именно о USB-токенах, которые можно подключать к компьютеру, давать команды и получать результаты их выполнения. Приступим.

    Аспекты хранения информации на токенах

    Сразу хочется пояснить, что токен – это не флэшка. Конечно, он может хранить некоторое количество информации, но весьма ограниченное, например, 64 Кб. Существуют токены, которые содержат в себе флэш-память на несколько Гб. Однако данные хранятся в этой флэш-памяти при помощи той же самой технологии, что и на обычной флэшке. Поэтому функцию хранения больших объемов данных можно расценивать как второстепенную или побочную.
    Можно сказать, что первоначальная функция токенов – это не извлекаемое хранение ключевой информации. Очевидно, с флэшкой общего мало. Что значит «не извлекаемое»? Это значит, что ключ из токена никогда не попадает никуда извне, например, в оперативную память компьютера. Данную строгую политику можно ослабить до того, что разрешается экспорт ключа из токена в оперативную память только в зашифрованном виде. Также существует опция экспорта ключа в открытом виде. Но даже при выборе владельца токена использовать только эту опцию, уровень безопасности все равно выше, чем хранение ключа на обычной флэшке. Выше он потому, что для экспорта ключа требуется знание PIN-кода, а для копирования ключа с флэшки PIN-код не требуется. Многие скажут: так можно же хранить ключ на флэшке и шифровать его паролем при помощи, например, RAR-а, и токен не нужен! Но, чтобы перебрать все пароли к архиву у нарушителя будет сколь угодно большое количество попыток, а токен после трех последовательных попыток ввода неверного PIN-а блокируется. Вывод: даже при самых скромных настройках безопасности хранить ключ на токене безопаснее, чем на флэшке. С хранением ключей все.

    Другие функции токена

    Что ещё умеет делать токен? Токен может самостоятельно:
    1. Шифровать\расшифровывать в соответствии с алгоритмами симметричного и асимметричного шифрования
    2. Генерировать ключи шифрования
    3. Формировать и проверять ЭЦП
    4. Хешировать данные и т.д.
    Токен представляет собой некий «черный ящик» во время осуществления криптографических операций: данные поступают на вход, преобразуются с помощью ключа и передаются на выход. Его можно сравнить с микрокомпьютером. Ввод и вывод информации для токена происходит по USB, есть свой процессор, оперативная и защищенная долговременная память.

    Для чего нам нужны пароли?

    Для большинства из нас повсеместное использование паролей стало стандартом «де факто» или, если угодно, классикой современности. Хотим аутентифицироваться на почте или соцсетях – легко, зашифровать файл RAR-ом – пожалуйста. Главное преимущество паролей в простоте их использования. Однако, такие вопросы как забывчивость, передача по незащищенным каналам (теще по телефону), набор пароля на клавиатуре, предсказуемость и т.д. ставят под сомнение некоторые важные с точки зрения безопасности операции.
    Если сравнивать пароль с криптографическим ключом, то выводы напрашиваются весьма неутешительные. В ГОСТ 28147-89 длина ключа составляет 256 бит (32 байта). При использовании генератора псевдослучайных чисел, ключ обладает хорошими статистическими свойствами. Пароль же, который является, например, словом из словаря, можно свести к псевдослучайному числу длиной 16 бит, что короче ГОСТ-ового ключа в 16 раз. Это сравнение само по себе представляет по криптографическим понятиям полный и безоговорочный fail!
    Мое утверждение состоит в следующем: токены способны решать все те задачи, для которых сейчас применяются пароли. Все без исключения. И решать их более качественно и безопасно. Считаю, давно пора заменить схемы на паролях на полноценные криптографические протоколы с ключами. И в этом деле, лучшего помощника, нежели токен, не найти. Чтобы не быть голословным, рассмотрим пару конкретных примеров: аутентификация и шифрование данных.

    Аутентификация
    Подробно останавливаться на минусах парольной аутентификации нет смысла. Слишком много сообщений о взломанных страничках и почтовых ящиках нам приходилось слышать. А с помощью криптографии на токенах реально реализовать «любой из тысячи» существующих протоколов аутентификации, для которого ни перехват с модификацией трафика, ни кража БД с сервера не дадут результата для нарушителя. Пользователь может забыть пароль, но не может забыть ключ, т.к. последний надежно хранится на токене. Аутентифицироваться с токеном также удобно, как и по паролю.

    Шифрование данных
    Обычно данные шифруются на криптографическом ключе, а сам ключ шифруется на пароле. Безопасность всей схемы целиком и полностью зависит от пароля, который опять же не всегда сложен и случаен, набирается на клавиатуре, может быть забыт и т.д. В случае с токеном, возможны два варианта решения:
    1. Ключ хранится на токене и не покидает его. Такой способ подходит только для малых объемов информации, т.к. скорость дешифрования при помощи токена не достаточно велика. Нарушителю извлечь ключ нереально.
    2. Ключ хранится на токене, но при шифровании попадает в оперативную память. Этот способ применяется, например, для де/шифрования тома целиком. Извлечь ключ возможно, но не совсем тривиально. Пароль же украсть гораздо проще.

    Конечно, за решения с помощью токенов придется платить, но к счастью, рублями, а не нервами и временем. Несмотря на то, что токены содержат полный арсенал криптографических операций, достаточно сложных для понимания большинством пользователей, само применение токена не представляет особого труда и интуитивно понятно. Токен действительно не требует от пользователя специальных профильных знаний и глубокого понимания заложенных в него механизмов. И он потенциально способен прийти на смену паролей и всего, что с ними связано.

    Заключение

    Уверен, что при распространенности решений на основе токенов удастся избежать различных неприятных случаев, связанных с кражей паролей, а также увеличить уровень безопасности в глобальном смысле.
    Искренне надеюсь, что у читателей остались вопросы, ведь рассказал о токенах я крайне мало. С удовольствием отвечу на них в комментариях!
    Share post

    Comments 142

      +6
      Как с хоста в токен передается пин-код? Если открытым текстом — все очень плохо, USB-сниффер его украдет. Если шифруется, то как?
      И насколько реально сделать поддельный токен, который никакого ключа не хранит, а только принимает от юзера пин, и пересылает, допустим, по радио?
        +3
        В «хороших» токенах аутентификация в токене производится на основе Challege — Response с использованием криптографической схемы. То есть пин-код не передается по USB-каналу.
        Другой вопрос, что проще поставить key logger, чем заморачиваться с USB-сниффером.
          +5
          В некоторых системах пин-код предлагается вводить с помощью «экранной клавиатуры» (от таких затейников). А вообще все как обычно — было бы желание. Социальная инженерия способна отлично справиться с получением пин-кодов. Да и самих брелоков, при желании.
            +1
            А некоторые затейники снимают скриншоты по событию «клик мыши». Как говорится, на каждую хитрую гайку…
              +2
              Разработчики виртуальных клавиатур отвечают на это размножением курсоров.
                0
                Ну-ка, живой пример интересно посмотреть. Насколько это снижает юзабельность.
                  0
                  Очень странно, я, определенно, видел это в продукте фирмы Kaspersky. Но в домашнем антивирусе виртуальная клавиатура откровенно не безопасна. Возможно я видел такую реализацию в корпоративной версии или же в менеджере паролей от Kaspersky
                    0
                    Как оно хоть выглядит примерно? Никак не могу представить.
                      0
                      На клавиатуре вместе с вашей стрелкой плавают еще штук 50, при этом все плавают в разные стороны. Лично я не испытывал неудобств при вводе, т.к. чувствовал где мой курсор. Но я использовал это только для «побаловаться», поэтому не уверен, что это было бы удобно при постоянном использовании.

                      Порыскал в интернете и похоже эту функцию убрали, т.к. я её сейчас не вижу, но судя по форуму она было в 2010 версии
                        +2
                        Не зря убрали, полагаю. По описанию — ужасное нечто, малопригодное для массового пользователя.
                          0
                          Ну как опцию можно было бы и оставить, паранойя — она не дремлет.
                0
                Видел экранную клавиатуру, срабатывающую на задержание курсора над кнопкой. Клики не обрабатывались вообще.
                  0
                  Да, видел такое. Отвратительная штука, неинтуитивная и непривычная.
              0
              Подскажите пожалуйста, каике токены Вы относите к «хорошим»?)
                +1
                Те, которые имеют сертификат соответствия Common Criteria по уровню не ниже EAL 4.
                Еще было бы неплохо иметь сертификацию FIPS, так как Америкосовское правительство довольно трепетно относится к безопасности своих информационных систем.
                  +1
                  Хотя, неверное не совсем обязательно иметь сам сертификат соответствия, достаточно выполнять требования к используемым криптографическим схемам и рекомендации по противодействию атакам на токены.
              +1
              Если я правильно понимаю, для операций типа «применить алгоритм с зашитым в токен ключем к данным» пин не нужен. Поэтому токен его не будет запрашивать. Поэтому его не выйдет украсть.

              Пин-код от пользователя требуется только для такой крайне нетривиальной операции, как экспорт ключа из токена. И заниматься такими вещами нормальный пользователь станет только на очень доверенной машине.
                +3
                Вы не совсем правы.
                Токены обычно нужны для двухфакторной аутентификации. Первый фактор — фактор владения токеном, второй фактор — фактор знания пин-кода к токену. Только при наличии двух факторов сразу система должны работать штатно. Это необходимо на случай, если токен будет украден.
                Если на выполнение каких-либо операций, связанных с личностью пользователя (аутентификация, генерация ЭЦП, извлечение данных и пр.), не запрашивается пин-код, то это однофакторная аутентификация, основанная на факторе владения.
                  0
                  Ну в таком случае, адекватный токен наверняка различает PIN-коды необходимые для операций, связанных с личностью пользователя и операций манипуляций ключем?
                    0
                    Да, часто используется несколько кодов: PIN1, PIN2 и т.д. для доступа к разным уровням операций.
                      0
                      Вы не могли бы поделиться ссылкой на токены, для которых используются несколько PIN-кодов для разграничения различных операций?
                        0
                        У Рутокена, судя по описанию:
                        3 уровня доступа к токену: Гость, Пользователь, Администратор
                        (Источник: www.rutoken.ru/products/rutoken/capability/)
                          0
                          Да, вы правы. Пина там два: для гостя и администратора. Используется это в основном для разграничения личностей пользователей (у администратора естественно большее доступное число операций). А я, прочитав вам комментарий, подумал, что каждому отдельному пользователю выдается несколько PIN-ов, он их все держит в памяти и в зависимости от типа операции вводит определенный ПИН и более того, существуют токены постоянно использующие таковые механизмы. А это совершенно неоправданно!
                            0
                            в предыдущем комментарии Гостя необходимо заменить на пользователя.
              0
              Заинтриговало) Разбираюсь я в этом плохо конечно. Т.е. я так понимаю, что я могу занести в токен все пароли от интернет-сервисов, которыми я пользуюсь, почта, соц. сети, какие то то другие площадки. И грубо говоря вставляю токен в порт юсб и браузер будет считывать пароли уже с этого токена автоматически? Или тут нужна будет еще промежуточная программа типа КриптоПро? Или такое вообще нереально?)
                +2
                Нет, для аутентификации по токену, разработчик web-ресурса должен предусмотреть такую возможность.
                  0
                  Печально, а было бы здорово, не надо пароли набирать и тем более сохранять их в браузере, токен вставил и везде авторизовался и удобно и безопасно.
                    +2
                    habrahabr.ru/blogs/web_security/120990/ — надеюсь это начнут когда применять
                      0
                      Спасибо за ссылочку) Только у меня что то плагин не скачивается.
                    0
                    было бы здорово как опцию выпускать такие штуки для пейпала и прочих платежных систем или для использования онлайн банком
                      0
                      И выпускают, и используют. Только банки часто считают, что для пользователей-физлиц токен — излишняя мера безопасности.
                        +1
                        Поправочка: физ. лица считают, что это слишком дорогая мера безопасности.
                          +5
                          А также банки считают, что все {физ.|юр.} лица, желающие использовать токен, работают под Microsoft Windows.
                            0
                            … и IE [версии 8.0]
                          0
                          Да, есть такое дело. Корни этой проблемы видимо лежат в нашем законодательстве, по которому клиент отвечает за свои деньги сам. А вот если бы банк должен был компенсировать кражи денег из его информационной системы, а ведь клиент-банк это его информационная система, тогда я думаю, токены заполонили бы все :)
                            +1
                            Должен банк возмещать деньги или нет зависит от договора с клиентом. ВТБ24 (не реклама) почти во всех случаях возмещает деньги клиенту. Но тут чисто политический вопрос. Когда мошенник ворует деньги со счета клиента банка, то пострадавшим считается клиент банка (простите за тавтологию). Если банк вернул деньги клиенту, то пострадавшим считается уже банк. В таком случае банк от своего имени может писать заявление в полицию. Физические же лица не любят разбираться с полицией и судами.
                            С юридическими лицами все наоборот. Там суммы воруемых денег значительно больше и часто клиенты сами у себя «воруют» деньги (отмывание денег, черная бухгалтерия и прочее..). Поэтому возмещать им убытки банки не спешат. А в полицию организации идут еще менее охотно, нежели физические лица, потому что не хотят лишних проверок счетов и деятельности фирмы.
                              0
                              Есть «правила игры» устанавливаемые государством. А по доброй воле кто же на себя такие обязательства возьмет, особенно в стране с ярко выраженной «рыночной экономикой» :)
                                0
                                Ага, особенно в ситуации, когда клиенты могут преспокойненько «воровать» сами у себя (см. выше), и государство пока не имеет эффективных механизмов, ограничивающих этот процесс. В таких случаях государству надо быть полным идиотом, чтобы принять «правила игры», вводящие безусловную ответственность банков за игры клиентов в фиктивные кражи.
                                  0
                                  то есть вы предпочитаете ситуацию, когда банк преспокойно может воровать деньги клиентов списывая это на них же самих?

                                  токен, как средство формирования эцп, имеет массу полезных свойств.

                                  1) банк не сможет списать деньги с вашего счета без эцп сформированным в вашем устройстве.
                                  2) вы не сможете отказаться от подписи сформированной в вашем устройстве

                                  эти два свойства помогут установить вполне разумные правила игры, отражающие интересы обоих сторон.
                                    0
                                    то есть вы предпочитаете ситуацию, когда банк преспокойно может воровать деньги клиентов списывая это на них же самих?
                                    Подскажите, как банк умудрится своровать деньги клиентов, списывая это на них же самих? ЭЦП уже отменили? Или банковские айтишники шутя умеют вычислять закрытый ключ ЭЦП по имеющемуся у них открытому? С огромным любопытством выслушаю технологию. И, думаю, не я один — весь мир прильнет к экранам мониторов. ;)

                                    токен, как средство формирования эцп, имеет массу полезных свойств.
                                    Вы не меняйте тему. Мы сейчас не о достоинствах токена спорим.

                                    Кроме того, перечисленные вами достоинства свойственны не только токенам, но и обычным программным средствам с хранением ключей на флешке/CD/жестком диске.
                                      0
                                      А я с вами не спорю. Я выражаю свою точку зрения, вы свою.
                                        –2
                                        Вообще-то в русском языке ваше поведение называется «спорить». См. gramota.ru:
                                        Спорить — возражать кому-л., доказывать что-л.

                                        Во-вторых, вы так и не ответили на уточняющие вопросы по вашей точке зрения. Следует ли из этого, что вам нечем ее обосновать и она является таким же продуктом вашей фантазии, как и ваши домыслы, приписываемые Volosatik'у (см. ниже)?
                              0
                              А вот если бы банк должен был компенсировать кражи денег из его информационной системы, ...
                              … то кол-во краж из банка увеличилось бы на много порядков, причем в 99.99% случаев это были бы мнимые кражи.

                              тогда я думаю, токены заполонили бы все :)
                              Токен в руках бестолкового клиента — не защита:
                              — При отсутствии минимальной защиты (фаервол и антивирус, причем правильно настроенные) над его компьютером будет получено удаленное управление
                              — Токен такой клиент имеет привычку вообще не вынимать из USB (зачем ему лишние телодвижения?).

                              Рассказывали случай, как один клиент случайно успел увидеть, как с его компьютера при помощи удаленного управления «тырили» деньги. Т.е. на экране монитора он своими глазами видел, как кто-то невидимый оформляет платежку, подписывает ее ЭЦП и отправляет в банк. Пришедший в себя от такого «кино» клиент позвонил в банк и тормознул платежку. А ведь если бы не случайность — денежки бы точно уплыли.
                                0
                                по статистике, которая звучит на различных форумах банковской безопасности, кража денег в системах, где используется подпись на токене составляет менее 1 процента от всех краж в системах ДБО. Абсолютной защиты не бывает, однако, цифры говорят сами за себя.
                                  0
                                  Не аргумент. Пока у других (не токен-пользователей) ключи ЭЦП открыто валяются на жестком диске, красть деньги у них гораздо удобнее и комфортнее, чем у токен-пользователей. Ибо скопировав ключи, злоумышленник может красть в любое удобное для него время, находясь в любом удобном для него месте. А раз так, то зачем ему возиться с токенами? Отсюда и низкая статистика.

                                  После же сплошной токенизации населения злоумышленники будут красть уже исключительно у токен-пользователей. Ибо 100%-ой защиты токен не предоставляет (да вы и сами подтверждаете это статистикой). Так в чем я неправ, говоря «Токен в руках бестолкового клиента — не защита»?
                                    0
                                    ответил ниже…
                                      0
                                      Ниже — это где? Ссылочку, пожалуйста, а то нигде ваших контраргументов не увидел.
                                        0
                                        Попытайтесь взглянуть шире на проблему, составить модель нарушителя в системе ДБО. Вы увидите, что нарушитель это не только хакер с шпионским ПО. И от некоторых угроз токен весьма эффективная защита. Например, от бывшего сотрудника организации.
                                          0
                                          Вы увидите, что нарушитель это не только хакер с шпионским ПО.
                                          Я с этим где-то спорил?

                                          И от некоторых угроз токен весьма эффективная защита.
                                          Я с этим где-то спорил?

                                          Это что — такая уловка? Вместо приведения контраргументов сказать пару очевидных фраз (спасибо, кэп!), которые оппонент никогда даже не ставил под сомнение, и думать, что этим все доказано?

                                          Напоминаю проигнорированный вами вопрос:
                                          Так в чем я неправ, говоря «Токен в руках бестолкового клиента — не защита»?
                                          Как видите, мое утверждение не противоречит ни одному из приведенных сейчас вами псевдоаргументов.
                            +1
                            кстати пейпал выпускает «черный ящик», после ввода пароля на сайте еще необходимо ввести цифры с этой штуки:
                            0
                              0
                              полагаю, что русскоязычному пользователю много веселее будет пользоваться WibuKey
                                0
                                16кбайт памяти выглядят каким-то убожеством на фоне alladin'овских 64, а то и 72кбайт (у eToken Pro Java)
                            0
                            Грубо говоря, сервер шлет вам случайное число, токен его шифрует с использованием пароля, отправляет результат обратно. Сервер проделывает то же самое, сравнивает результат. Пароль не покидает пределов токена.
                            Подобным образом работает аутентификация в сотовых сетях. SIM-карта, по сути, тот же токен, только без usb-интерфейса.
                              –5
                              Эта задумка убога по своей сути, сейчас существую гораздо более стойкие протоколы.
                                0
                                Да, очень похоже. Только в SIM картах используется симметричное шифрование, а токены в таких схемах обычно используют для формирования ЭЦП, а сервер для проверки.
                                0
                                Поддерживают ли работу с токенами текущие браузеры? Если да — то все ли?
                                  0
                                  Мало браузера. Работу с токеном должен поддерживать удаленный сервер.
                                –1
                                У вас есть токен, в нем есть секретный ключ и сертификат. Сертификат вы можете из токена получить, и он публичный. Этот сертификат вы рассылаете всем сторонам, заинтересованным в доверительном канале передачи с вами. Такие же сертификаты они отправляют и вам.
                                Тут есть один нюанс, для любого популярного ресурса, инфраструктура для такого постоянного шифрования-дешифрования требует ощутимых вложений.
                                И, в принципе, до кучи еще проблем — токен можно потерять, и тогда «все пропало». Реально, все.
                                На самом деле эти токены недалеко ушли от цифрового паспорта, которых все так боятся.
                                Но, конечно, и плюсы внушительные.
                                  0
                                  habrahabr.ru/blogs/web_security/120990/ — PKI инфраструктура не обязательна. Открытый ключ сервер может хранить у себя в базе, если он конечно сам себе доверяет :)
                                    0
                                    А криптографию серверу тоже считать не обязательно?)
                                    Попробуйте к любому вебсайту добавить просто https, нагрузка вырастет раз в 10 :)
                                      0
                                      если необходимо шифрование канала, то да — https прожорлив. Если требуется строгая аутентификация, то использование токенов возможно без увеличения нагрузки на сервер. Механизмы восстановления доступа, в случае утери токена так же существуют.
                              • UFO just landed and posted this here
                                  +1
                                  Это OTP токен, другое устройство по своей сути.
                                  • UFO just landed and posted this here
                                      +1
                                      На OTP-токены есть ряд известных и легко реализуемых атак.

                                      Например, если OTP-токен формирует Event Based OTP, то злоумышленник может в тайне от пользователя сгенерировать один-два OTP значения, запомнить/переписать их и воспользоваться.
                                      Если злоумышленнику не удалось ими воспользоваться, то пользователь об этом не узнает в силу специфики работы с Event Based OTP.
                                      C Time Based существует временной интервал, в течение которого действует OTP значение и т. п.

                                      Нормальный криптографический токен в любом случае надежнее.
                                      • UFO just landed and posted this here
                                          0
                                          Но я Вас умоляю, при тех затратах для злоумышленника для подбора корректной последовательности, проще дать ключеносцу кирпичом по черепушке.
                                          Здесь именно в том и дело, что OTP значения генерируются при помощи OTP-токена пользователя. Например, подходим к столу зазевавшегося пользователя, берем его OTP-токен, нажимаем на кнопку генерации OTP и запоминаем 6 цифр OTP.
                                          Пока пользователь не аутентифицируется в системе с новым OTP — этот будет действителен. И Админ сможет узнать только при разборе инцидента, когда будет уже поздно.

                                          Ну так кроме ключа с токена злоумышленник еще и должен знать пароль юзера и пин к токену.
                                          Мало того, при успешной аутентификации этот ключ становится недействительным (хотя, наверное, это зависит от настроек сервера).

                                          OTP сделаны для того, чтобы можно было не опасаться за их перехват при передаче по каналам связи. При передаче Event Based OTP с какими угодно доп. параметрами (пин, соль или еще что-то) будет временной интервал, в течение которого OTP будет действовать.
                                            +1
                                            Извините что встреваю, но у RSA нет кнопки — цифры там меняются каждые 60 сек, следовательно время жизни пароля — 120 сек. Другое дело что их (RSA) взломали и база хешей токенов утекла, по слухам.
                                            Согласен что OTP токен не замена USB, но для замены пароля — имхо самое то — просто для юзера, просто для админа, кейлоггеры курят — что еще нужно?
                                              0
                                              А есть OTP токены, которые можно использовать в схеме один токен — несколько ресурсов?
                                                0
                                                Ну так другой логин/пароль на другой ресурс и все дела, а токен может быть тем же.
                                                  +1
                                                  Как мне кажется ситуация немного сложнее. Каждая пара токен-сервер должна обладать секретом. То есть владелец токена должен сообщить свой секрет разным ресурсам, в некоторых случаях это недопустимо с точки зрения безопасности. Возможно так же потребуется что бы сервера имели синхронизированное время.
                                  +1
                                  В зависимости от реализации: иногда передается в открытом виде, иногда используется протокол ФКН, который осуществляет взаимную аутентификацию программы и самого токена и шифрует трафик на сеансовом ключе.
                                  Чтобы сделать такой токен как вы описали, придется потратить много времени (чисто мое мнение, в построении железок я не специалист), еще и нужно подсунуть его жертве.
                                    0
                                    Нет, для аутентификации по токену, разработчик web-ресурса должен предусмотреть такую возможность.
                                      0
                                      Как относится usb-токен к воздействиям окружающей среды?
                                      Например: воздействие влаги, агрессивных сред, высоких и низких температур, магнитных и электрических полей, статического электричества, падений с высоты, вибрации и т.д.
                                        0
                                        Отлично относится, его даже можно постирать в машинке, выживает, проверено!
                                          0
                                          Бухи у нас где-то раз в год ломают пополам физически один из token'ov, причем не в корпус вставляют а в шнурок, к проливани кофе и т.д относятся стойко.
                                          Но это суровые бухи…
                                          +1
                                          С токеном тока одна проблема — постоянно забываю то принести из дома, то забрать с работы.
                                            +1
                                            1. Гуглим на тему: RSA SecureID, software token.
                                            2. Устанавливаем на рабочий лаптоп
                                            3. Перестаем париться

                                            0
                                            Попробуйте носить его вместе с ключами как единое целое:)
                                              0
                                              Существуют ли токены со встроенными биометрическими сканерами?
                                                0
                                                Существуют, конечно.
                                                  0
                                                  Спасибо, Капитан! А ссылкой не поделитесь?
                                                    +4
                                                    Раз уж нарек ты меня Капитаном, то получай: набери в гугле 'fingerprint token', 'biometric token'
                                                      0
                                                      Сам спрашивал, сам отвечаю :) Такие токены действительно есть, причем гораздо больше, чем я ожидал. Например:
                                                      safetok.com/solutions/biometric.html
                                                      www.ftsafe.com/products/biopass.html
                                                      www.softlock.net/default.aspx?DocSN=eSign-Smart-Token

                                                      Таким образом, самые отъявленные параноики могут организовать трехфакторную аутентификацию: токен + пин-код + биометрия.
                                                        0
                                                        Как правило, в таких комбайнах датчик дешевенький, легко поддается обману. И применяют биометрию для замены пину чаще, а не для добавления фактора. Но никто не мешает и трехфакторную сделать, да -)
                                                          0
                                                          Приятно конечно, что кто-то заморочился насчет биометрии в токенах. Однако, безопасности особой это не прибавляет, а цену точно увеличивает. Аргументирую. В биометрических токенах применяется распознавание отпечатков пальцев. Из статьи «Impact of artificial gummy fingers on fingerprint systems» японских авторов Matsumoto T., Matsumoto H. известно, что способ этот легко обходится. Вот ссылка с картинками: web.mit.edu/6.857/OldStuff/Fall03/ref/gummy-slides.pdf
                                                          Я считаю, полезность в том, что от пользователя требуется некоторое физическое действие (а не чисто программное), чтобы выполнить операцию (чтение отпечатка). Но его легко можно заменить на кнопку на токене, чтобы требовалось ввести (или закешировать) пин, нажать кнопку и, ура, операция свершилась. Способ явно более дешевый, более стойкий к механическим поломкам устройства. А по уровню безопасности примерно одинаковый, имхо.
                                                  0
                                                  в хороших токенах должен быть аппаратный генератор случайных чисел, так ведь?

                                                  и да, вот вы пишите «Его можно сравнить с микрокомпьютером». будем честными, на деле — это микроконтроллер, конечный автомат, не более.
                                                    +1
                                                    Вы хотите сказать, что токен — конечный автомат и не способен получать энтропию? Это не совсем так, ГПСЧ в токене не программный, а аппаратный.
                                                    0
                                                    Как то раз один банк прислал инструкцию к своему токену. Там было написано, что надо предварительно удалить драйверы от всех других токенов других производителей, в то время как на том же компьютере использовался токен от другого банка. Не знаю насколько эта ситуация распространена, но при широком использовании на сайтах такая проблема, наверное, может возникнуть.
                                                      +2
                                                      Сейчас существуют HID токены, не требующие установки драйверов. В винде они сразу же определяются самой осью и готовы к использованию.
                                                      0
                                                      Да, вы правы. Генератор и должен быть и, что особенно вдохновляет, есть в токенах!
                                                      Моя фраза носит чисто иллюстрационный характер. Да, там микроконтроллер, со своей «прошивкой» и т.д.
                                                        0
                                                        Все алгоритмы шифрования открыты и общедоступны. Существуют ли open-source реализации токенов? Имеется в виду не код библиотеки и драйверов (хотя куда же без них?), а прошивка самого USB-«свистка».
                                                        +3
                                                        Согласен, но отчасти.

                                                        Во-первых, в используемых для аутентификации токенах не должно быть никакой возможности экспорта ключа. Во-вторых, должны использоваться открытые алгоритмы и технологии, а не кривое только-под-винду-Xp проприетарное ПО.

                                                        И на токене должна быть железная кнопка для ответа на запрос хоста — чтобы трояны не могли подбирать потихоньку пароль.

                                                        Ну и нужны дополнения в HTTP протокол, чтобы веб-сервисы поддерживали Challenge-Response. Тогда можно было бы отказаться от логинов/регистраций: такие данные, как email и имя хранились бы в токене, вход на сайт и регистрация происходили бы автоматически при вставленном токене.

                                                        Потерялся бы смысл в фишинге, троянах для воровства паролей. Не надо было бы запоминать или записывать сложные пароли. Имея несколько токенов, можно легко перелогиниваться. Пользвоателям было бы проще и безопаснее жить.
                                                          0
                                                          Если токены используются чисто для аутентификации, то ключ не экспортируется ни при каких условиях. Алгоритмы шифрования все открыты, технологии зачастую открываются разработчиками.
                                                          Про кнопку согласен с вами, существуют токены как с кнопками так и без. Каждый разработчик выбирает сам, реализовывать кнопку или нет. Токены без кнопки, естественно, стоят дешевле.
                                                          Уровня автоматизма, о котором вы пишете можно добиться и без дополнении в http протокол. Главное, чтобы у человека не существовало несколько почтовых ящиков, например, на mail.ru. И таковые решения уже существуют.
                                                          По последнему абзацу согласен на все сто. И здесь очень необходима помощь самих владельцев Интернет сервисов!
                                                            +1
                                                            Изменений в протокол может и не понадобиться, а вот поддержка таких методов аутентификации разработчиками (владельцами) ресурсов конечно необходимо.
                                                          • UFO just landed and posted this here
                                                              0
                                                              За один день бабушке этого не объяснить. Бабушке даже толком не объяснить зачем ей почтовый ящик:) Конечно, целесообразность приобретения токена не для всех очевидна. Но не стоит забывать, что токены не только для аутентификации, с ними можно городить очень хитрые решения, обеспечивающие комплексную безопасность пользователя.
                                                              • UFO just landed and posted this here
                                                                +2
                                                                Вот как раз таки бабушкам на-а-амного проще обьяснить, что для входа на сайт нужно поставить флешку, чем заставить придумывать и помнить криптостойкие пароли и логины.
                                                                • UFO just landed and posted this here
                                                                    0
                                                                    Можно подумать, что компьютеры они сами покупают. :) Внуки, не ленитесь покупать токены в комплекте! ;)
                                                                0
                                                                Хотел насчет винрара и запароленных архивов заметить, что при распаковке, данные складываются в %TEMP%. И не надо никаких логгеров.
                                                                  0
                                                                  Запароленный .rar упомянут как пример совсем уж колхозного решения. Если цель — аутентификация, обычно используют менеджеры паролей, которые ничего лишнего на диск не пишут. Основное преимущество токенов — не защита от логгеров (пин достаточно легко перехватить, выше в комментах как раз сейчас это обсуждают), а защита от брутфорса, так как дается всего несколько попыток на ввод пин-кода. А к запароленному архиву или базе какого-нибудь KeePass'а можно подбирать пароль до победного конца.
                                                                    0
                                                                    Я с Вами полностью согласен, сам работал в банковсом айти и переводил клиентов с дискеток на токены.
                                                                      +1
                                                                      Я слышал, что ключевая дискета — это не просто дискета, на которой лежит ключ, но еще определенным образом поцарапанная, чтобы ее нельзя было скопировать, т.к. конфигурация бэд-блоков от царапины — часть ключевой информации. Это правда?
                                                                        +1
                                                                        думаю вполне возможно, в одной из старых книжек по паскалю, простите, но забыл название, был пример использования таких специально поцарапанных дискет. Правда там в контексте защиты от копирования.
                                                                          0
                                                                          Ага, я тоже помню эту книгу. Ээх…
                                                                          0
                                                                          Сейчас уже не так, у сбера допустим дискета просто копируется.
                                                                          А во времена Dos'а видел своими глазами дискету на которой лазером был прожжен рисунок ключевой, и бэды считывались как ключ.
                                                                            0
                                                                            Подавляющее большинство банков использует стандартные криптопровайдеры — КриптоПро, Криптоком и т.п.
                                                                            Соответственно, все требования к дискетам определяются криптопровайдером. Лично я не знаю на сегодняшний день ни одного, который бы умел использовать «царапины на дискетах». Максимум — номер носителя, но он копируется обычным переносом образа дискеты.
                                                                            0
                                                                            Киленты с дискеток на токены переходят без разговоров. Дисководы 3,5'' в компьютерах встречаются все реже и реже. Надо идти в ногу со временем. Да и ненадежны эти дискетки — все время ломаются. С другой стороны вместо дискеток можно использовать обычные USB-флешки (не токены).
                                                                        0
                                                                        Кстати, а есть какой-либо софт, эмулирующий USB-токен? Помните, в свое время очень удобно было эмулировать CD, DVD-диски? А то иногда бывает, что торчит свисток модема из ноутбука и токен уже не воткнещь, а если 2 токена (банк-клиент и инвест-рынки), то уже приходится жертвовать мышкой.
                                                                          +1
                                                                          USB hub?
                                                                            +1
                                                                            Только он и приходит на помощь, вот думал, есть ли софтверное решение, хотя оно и дискредитирует идею токенов как таковую.
                                                                            +3
                                                                            Хм… Как бы вам объяснить. Тут возможны 2 варианта:
                                                                            1) Вы не понимаете, в чем смысл токена, зачем он имеет свой процессор и т.д. Перечитайте статью и купите USB-хаб, ибо ответ: «Нет, такого софта не существует». Или не используйте токен, а авторизуйтесь по паролю, если вам все равно.
                                                                            2) Вы все это прекрасно понимаете, но решили всех обхитрить, т.к. без токена банк-клиент не работает, а лишних портов нет. Ответ все равно: «Нет, такого софта не существует», поскольку никто не заинтересован в снижении защищенности системы, которое неизбежно наступит, когда пользователи начнут использовать эмуляторы вместо токенов.
                                                                              +1
                                                                              И слава богу, и надеюсь что не будет.
                                                                                +1
                                                                                Хотя токены, используемые для защиты ПО от копирования (HASP, например), с переменным успехом эмулируются. Отгадайте с трех раз, кому это нужно :)
                                                                                  0
                                                                                  Я как раз второй вариант.
                                                                                    +1
                                                                                    Вы не совсем правы.
                                                                                    Программные токены существуют. Они так и называются — Software Token. Но они используются немного для других целей в основном в средах Enterprise.

                                                                                    Пример: инфраструктуры предприятия настроена только на аутентификацию по сертификатам. Ключи всех сотрудников на токенах. Сотрудник поехал в командировку и сломал/потерял токен.

                                                                                    Решение: администратор формирует сотруднику Software Token, который действует только в течение короткого промежутка времени (1-2 дня) и высылает ему по открытым каналам. Сам «токен» под паролем. Непосредственно работу с Software Token осуществляют драйвера от нормального «токена».

                                                                                    Зачем?: чтобы инфраструктура предприятия работала и сотрудник мог осуществлять свою деятельность вне зависимости от нештатных ситуаций.

                                                                                    Пруф: см. Виртуальный токен
                                                                                  +2
                                                                                  вообще во многом согласен с автором, только вот проблема такая, что токен — физический, за него нужно заплатить и получить, грамотно использовать и его можно потерять/ могут украсть… при таком раскладе выходит, что мы теряем некоторое количество клиентов… а это в большинстве случаев неприемлемо… вот еще проблема сходу: как насчет процедуры восстановления токена? как она проходит? очевидно же что слабое место…
                                                                                  Я не против, я просто к тому что все это увеличивает порог вхождения…
                                                                                  да, и еще. что бы ни придумывали криптоаналитики и прочие умельцы для защиты, всегда найдется некто, кто это защиту рано или поздно сломает…
                                                                                  зы: оочень не хочу раздувать холивар. просто поделился мнением)
                                                                                    0
                                                                                    Ближе всего к описанной ситуации повсеместного введения токенов — использование Sim-карт для мобильной связи.
                                                                                    1) Стоимость снижена до минимума, за счет массовости. Часто карта бесплатна для пользователя, за нее платит поставщик услуг.
                                                                                    2) Потеряли-украли? Не беда. Двухфакторная аутентификация не даст воспользоваться вашей картой никому кроме вас.
                                                                                    3) Восстановление тоже довольно просто: генерируется новый ключ, а старый аннулируется. Естественно, после того, как вы подтвердите, что вы — это вы.
                                                                                    4) Смысл защиты не в том, чтобы ее нельзя было преодолеть, а в том, чтобы это было нерентабельно. И в sim-картах это на сегодняшний день достигнуто: затраты на извлечение ключа (нес-ко десятков тысяч $) не окупятся при использовании этого ключа злоумышленником.
                                                                                      0
                                                                                      Хм… в таком ракурсе я не смотрел. интресно.
                                                                                      как только войдут в обиход, начну пользоваться)
                                                                                        0
                                                                                        Чем быстрее начнете, тем быстрее войдут в обиход =)
                                                                                          0
                                                                                          Я вот начал пользоваться линуксом… А фотошопа всё нет…
                                                                                    +2
                                                                                    Токен не панацея. Мало иметь «правильно сделанный токен», мало знать как он работает, надо уметь им пользоваться. Если штатному бухгалтеру дать токен и сказать, что он повысит безопасность, то толку от этого будет не больше, чем если отклеить бумажку с паролем от монитора и спрятать ее под клавиатуру.
                                                                                    Непросвещенный пользователь получает «супер надежное и защищенное устройство, с которого невозможно скопировать пароль, которое защитит счет организации от интернет-мошенничества», смотрит на этот токен как на святая святых, вставляет в USB-порт и… всё. Считает, что он «в домике» и ему ничего не страшно.
                                                                                    В такой ситуации злоумышленнику не важно, что это за токен, какой там алгоритм шифрования, скольки факиторная авторизация… это все лишние вопросы. Пользователь УЖЕ вставил токен, УЖЕ ввел пароль, УЖЕ прислонил палец/сетчатку глаза к биометрическому датчику. Токен уже готов работать, он ждет входных данных, чтобы зашифровать их своим ключом и отправить в интернет-банк. Любой троян просто дождется, когда пользователь сам залогинится в онлайн-банкинге и сам пройдет все круги авторизации. А вот потом в фоновом режиме отправляются все нужные платежки.

                                                                                    В особо изощренных случаях видел софт, работа которого похожа на работу программы Radmin. Вирус просто ждет бездействия компьютера, а потом управление машиной перехватывается. И горе, если токен все еще торчит, а бухгалтер пьет чай с плюшками.
                                                                                      0
                                                                                      А при чем тут токен вообще? Тут уже работа антивируса, а не токена.
                                                                                        0
                                                                                        А при том, что (читаем заключение автора заметки):
                                                                                        Уверен, что при распространенности решений на основе токенов удастся… увеличить уровень безопасности в глобальном смысле.
                                                                                        Так вот Volosatik совершенно верно обратил внимание на очень важный нюанс: уровень безопасности повысится только у более-менее грамотных клиентов, для остальных же уровень безопасности останется на прежнем уровне.
                                                                                        0
                                                                                        Отлично объяснено. Выше я попытался то же самое сказать, но у вас получилось гораздо лучше!
                                                                                          0
                                                                                          Просто собрав пароли кейлогерам платежи можно выполнять где угодно, если же требуется токен, все становится значительно сложнее. Следуя вашей логике, что злоумышленник всесилен, можно и вообще не использовать пароли. Зачем? Все равно украдут… :)
                                                                                            0
                                                                                            Следуя вашей логике, что злоумышленник всесилен, можно и вообще не использовать пароли.
                                                                                            Если не трудно, покажите, пожалуйста, исходные цитаты, из которых можно сделать столь ошеломляющие выводы? Я, например, даже близко ничего нашел.
                                                                                              0
                                                                                              >уровень безопасности повысится только у более-менее грамотных клиентов, для остальных же уровень безопасности останется на прежнем уровне.

                                                                                              уровень безопасности информационных систем, использующих для аутентификации, цифровой подписи ишифрования токены выше, чем без них при всех прочих равных условиях.
                                                                                                –2
                                                                                                Во-первых, почему вы привели мою цитату? Свои домыслы вы приписали Volosatik'у и поэтому именно его цитаты и должны были привести.

                                                                                                Во-вторых, каким образом из приведенной вами моей цитаты следует, что злоумышленник всесилен? Может покажете всем полет вашей логической мысли? ;)
                                                                                                  +2
                                                                                                  Уважаемое pusto, я рад что у вы настолько внимательны. Вы по существу вопроса можете что-то сказать?
                                                                                                    –2
                                                                                                    Это, конечно, очень ценно — сообщить всем свои эмоции по поводу моей внимательности. :)))
                                                                                                    Но даже эта жизненно «необходимая» для обсуждения :) информация — не повод увиливать от цитат, подтверждающих ваши домыслы в чужой адрес.
                                                                                                    Ответьте прямо: подтверждаются ваши утверждения-домыслы хоть чем-то или нет?

                                                                                                    Вы по существу вопроса можете что-то сказать?
                                                                                                    Если вы не в курсе, то в обсуждениях разбор утверждений/аргументов/контраргументов оппонента — это и есть разговор по существу. И если его избегать — это уже не обсуждение получится, а балаган какой-то: каждый сочиняет всё, что хочет, а других не слушает.
                                                                                          0
                                                                                          Кстати, надежность токена (в частности eToken-а) многие уже испытали.
                                                                                          К примеру, пришли к нам в фирму за ЭЦП компания, попросили записать подпись на их флешку, объясняя это тем, что они «уже так делали». Ну хорошо, как скажете: запишем.
                                                                                          Через полторы недели звонят: «ааааааа! где ключи!!! их ваще вы на флешку не записали! Как могли!!! Уроды, сволочи, у нас тендер по срокам горит! Чо делать!»
                                                                                          Привозят флешку… действительно, ключа нет.
                                                                                          И только через неделю выяснилось, что бухгалтер домой носила флешку, а сыниша её заюзал… Мы им предложили токен, чтобы не повторялось подобного. Счас всё норм…
                                                                                          для меня это показатель
                                                                                            0
                                                                                            То, что вы описали распространяется на любые USB-токены.
                                                                                              0
                                                                                              я в курсе, просто говорю про актуальность вашей статьи!
                                                                                            0
                                                                                            Спасибо за статью!

                                                                                            А можете что-нибудь сказать про использовании password manager'ов совместно с токенами? Встречал решения, которые заявляли — «мы умеем хранить мастеркей на токене».
                                                                                            Не приходилось такого делать?
                                                                                              0
                                                                                              Пожалуйста! Не исключено, что таковые решения существуют. Но лично я с ними не сталкивался. Если наткнетесь, скиньте пожалуйста ссылку, любопытно будет взглянуть.
                                                                                                0
                                                                                                Ну из того, что пока нарыл:

                                                                                                eToken Web Sign-On от Aladdin.
                                                                                                Стоит денег, но небольших — 990 рублей за комплект, + 177 рублей за каждое дополнительное место.

                                                                                                здесь рассказывают, как можно скрестить KeePass с токеном.

                                                                                                А здесь — как прикрутить токен к SSH.

                                                                                                Ну и решения от RSA, но я пока не разбирался, куда и как его можно прикрутить для частного использования.

                                                                                            Only users with full accounts can post comments. Log in, please.