Annuncio pubblicitario
I token One Time Password (OTP) sono generalmente considerati il massimo in termini di sicurezza dell'accesso dei consumatori. Sono una parte fondamentale nell'uso di a Autenticazione a due fattori sistema che aumenta drasticamente la sicurezza di un accesso da un tipico sistema a singolo fattore nome utente / password.
Lo schema di sicurezza nome utente / password è considerato molto insicuro per una serie di motivi, tra cui la facilità di sniffing di pacchetti o battitura di tasti, attacchi di phishing e altri problemi di ingegneria sociale. Gli schemi di autenticazione a due fattori aggiungono un altro livello di sicurezza facendo in modo che un utente ne recuperi un altro password da una sorgente fuori banda come un dispositivo che genera password (come un token OTP) o SMS testo.
Poiché questa password cambia costantemente a intervalli di tempo, è quasi impossibile per un aspirante hacker rubare il nome utente e la password e accedere senza questo token.
Questi token sono generalmente a pagamento poiché sono un dispositivo fisico, ma con il recente aumento delle app disponibile per dispositivi mobili molti provider OTP ora offrono app gratuite che sostituiscono quelle fisiche dispositivo.
Di seguito sono riportati alcuni dei generatori di password più popolari che ho incontrato e alcuni screenshot di questi in azione:
Accesso VeriSign Identity Protection (VIP) per dispositivi mobili
Uno dei maggiori fornitori di token fisici One Time Password è Verisign. I loro token hardware sono a basso costo per l'utente finale e sono utilizzabili in numerosi siti online popolari tra cui eBay, SalesForce, Box.net, Paypal e altri. Puoi ordinare una chiave a basso costo ($ 5) da Paypal o, come ho scoperto di recente, scaricare un'app gratuita per dispositivi mobili.
Verisign offre software per un'ampia varietà di dispositivi mobili, inclusi iPhone, Android, Windows Mobile, Blackberry e altri. Basta scaricare il software ed eseguire il programma di generazione password: al primo avvio viene generata e registrata una firma unica con i server di VeriSign. Il dispositivo ha un ID univoco che quindi si registra con il proprio accesso su un sito esterno.
Dopodiché ogni volta che apri il programma ti mostrerà la password corrente da usare durante l'autenticazione a due fattori. Facile.
Un altro grande attore nel campo dell'autenticazione a due fattori è RSA. In origine RSA è stata pioniera nel campo della sicurezza brevettazione un metodo per crittografare i dati dei canali di comunicazione nel 1983 e rilasciarli open source nel 2000.
Proprio come l'app VeriSign, RSA ha rilasciato la sua app SecureID gratuitamente per iPhone, Blackberry, Windows Mobile e alcune altre piattaforme. Sfortunatamente, non hanno rilasciato un'app sulla piattaforma Android alla data di pubblicazione. Hai anche una soluzione RSA per utilizzare il generatore OTP mobile, questo verrebbe dal tuo posto di lavoro, banca o qualsiasi altro login che potrebbe essere necessario proteggere.
Le soluzioni RSA sono ampiamente utilizzate in tutto il mondo.
FireID è un avvio nello spazio di autenticazione a due fattori. Mentre sono nuovi sul campo, hanno un'app per iPhone davvero bella. Il loro sito web afferma che supportano anche dispositivi Blackberry, Android, Windows Mobile e Symbian, ma non sono riuscito a trovare informazioni su questi prodotti e non sono sicuro che siano stati rilasciati ancora.
Sono sicuramente un'azienda da tenere d'occhio.
ArcotOTP [Non più disponibile]
ArcotOTP è un altro generatore di password monouso. Pur essendo meno conosciuto degli altri, Arcot è una società "emergente" in questo campo e conta il venerabile Bruce Schneier come consigliere della compagnia. ArcotOTP è una tecnologia proprietaria in cui è necessario utilizzare un software collegato a una soluzione ArcotOTP.
SafeNet offre una suite di diverse soluzioni di sicurezza e autenticazione e ha anche una buona gamma di applicazioni OTP per più piattaforme tra cui iPhone, Blackberry, Windows Mobile e SMS. In particolare, questo elenco non contiene Android.
Sebbene non sia un elenco completo di generatori OTP mobili gratuiti, quanto sopra ti dà una buona idea su alcuni dei i principali attori del settore e le soluzioni più popolari che offrono un client mobile anziché un hardware gettone. Esistono molti provider OTP, ognuno con la propria piattaforma per proteggere gli accessi.
VeriSign è probabilmente quello con cui avrai più familiarità e ha l'adozione più e-commerce, dal momento che Paypal / eBay, Salesforce e altre app Web popolari li usano. Quale app gratuita utilizzeresti è probabilmente dettata dai siti web a cui devi accedere e quale schema a due fattori usano.
Qualunque sia il tuo metodo preferito per implementare l'autenticazione a due fattori, queste app gratuite ti indirizzano verso alcuni provider che lo sono stati progressivo sulla mentalità "convergenza del dispositivo mobile", che consente di rinunciare a un token separato e utilizzare un dispositivo per aumentare il login sicurezza.
Facci sapere quanto è facile trovare questi generatori di password da utilizzare o quali altri schemi di sicurezza utilizzi per proteggere le tue password.
[Come poscritto, volevo solo sottolineare che l'autenticazione a due fattori ha un buco in esso - un attacco Man in the Middle è ancora in grado di sconfiggere questo schema di autenticazione. Fondamentalmente, un utente malintenzionato si trova tra te (accesso) e il server, passando le tue informazioni al server legittimo inclusa la password di una volta. Questo è un problema di sicurezza abbastanza oscuro per il consumatore generale, quindi l'aggiunta dell'autenticazione a due fattori ai processi di accesso offre una sicurezza molto maggiore rispetto a un normale schema a un fattore. ]
Credito immagine: mikebaird.
Dave Drager lavora presso XDA Developers nella periferia di Filadelfia, in Pennsylvania.
