Dos ventajas existentes de un token sobre una unidad flash. Descripción general del mercado de autenticación multifactor. Token para autenticación

Dos ventajas existentes de un token sobre una unidad flash. Descripción general del mercado de autenticación multifactor. Token para autenticación

31 de enero de 2007 17:04

Yuri Sergueev

Las claves electrónicas aparecieron hace mucho tiempo, pero aún no han logrado sustituir el procedimiento de identificación estándar mediante nombre de usuario y contraseña. Esto es más que extraño, considerando que los tokens USB modernos proporcionan alto grado protección de datos, son prácticamente invulnerables a ataques externos y están representados en cantidades suficientes en el mercado ruso. Lo principal es no equivocarse con la elección.

La contraseña está "obsoleta"

La identificación mediante un “inicio de sesión” y una “contraseña” es algo común y corriente. Sin embargo, este esquema de “reconocimiento” del usuario por parte del sistema está algo obsoleto desde el punto de vista de la seguridad y la facilidad de uso. A menudo, aumentar el énfasis en la seguridad de la información reduce la comodidad del control de acceso para el usuario. Por lo tanto, las contraseñas creadas de acuerdo con los requisitos de complejidad (utilizando letras de diferentes mayúsculas y minúsculas, números, signos de puntuación y símbolos de servicio, con una longitud de al menos 8 caracteres) son difíciles de recordar. usuario final. Así, el principal problema pasa a ser el factor humano.

Los problemas de la autenticación de contraseñas también incluyen la facilidad de selección usando un diccionario (si la contraseña es una palabra o frase de algún idioma, incluso si las letras se reemplazan con caracteres especiales, por ejemplo, P@ssw0rd) y la fuerza bruta (especialmente las cortas). contraseñas.) Además, la contraseña puede ser interceptada u observada cuando se ingresa u obtenida mediante el uso de violencia contra su propietario. Problemas de autenticación de usuarios en sistema de información Se han identificado desde hace mucho tiempo y ya se han propuesto varias soluciones. Tendencia actual- uso de autenticación de dos factores basada en tokens USB. En Rusia, la proporción de estos dispositivos ocupa una posición dominante en relación con las tarjetas inteligentes y los tokens autónomos como resultado de la posterior formación del mercado de dispositivos de autenticación de hardware y la poderosa política de marketing de las empresas fabricantes. Los principales actores en el mercado ruso de llaves USB (tokens) son Aladdin, Rainbow Technologies, Aktiv junto con Ankad, RSA Security y Feitian Technologies con su producto ePass.

¿Cuánto cuesta la protección moderna?

Las llaves USB inteligentes están diseñadas para funcionar en aplicaciones que tienen altos requisitos en términos de protección de datos. Las memorias USB pueden considerarse sucesoras de las tarjetas inteligentes de contacto; prácticamente replican su diseño, pero no requieren lectores especiales, lo que simplifica su implementación y reduce los costos. Por lo tanto, la ventaja económica al usar llaves USB en comparación con las tarjetas inteligentes se logra cuando un usuario trabaja en la computadora, pero si es necesario que varias personas trabajen en una máquina, entonces es más rentable comprar un lector y varios lectores inteligentes. tarjetas, entonces, cómo el costo de la tarjeta en sí es menor que el costo de la ficha. Tenga en cuenta que las memorias USB que no están fabricadas según la arquitectura "tarjeta inteligente + lector de tarjetas", por ejemplo, ruToken, "Shipka", se fabrican en un microcontrolador en serie y emulan mediante programación la funcionalidad de las tarjetas inteligentes. Esto reduce enormemente su seguridad. En particular, utilizan un chip de memoria externo con todas las consecuencias consiguientes (los tokens de tarjetas inteligentes tienen memoria dentro del chip de la tarjeta inteligente y es muy difícil atacarlos).

Costo promedio de implementación de sistemas de control de acceso

Demostremos esto usando el ejemplo de los productos Aladdin. Una llave USB electrónica eToken PRO/32K cuesta 49 dólares. La tarjeta inteligente eToken PRO/SC costará 23 dólares, el lector de tarjetas inteligentes para eToken ASEDrive IIIe USB V2 costará 40 dólares.

Sutilezas de elegir tokens USB

Un token USB es una simbiosis de un lector y una tarjeta inteligente, solo la tarjeta está soldada y no se puede cambiar. El proceso de instalación es similar a instalar un lector, y su conexión/extracción es similar a conectar/quitar una tarjeta en el lector. Para comenzar a usar un token USB en aplicaciones, debe formatearlo utilidad especial. No todas las aplicaciones que funcionan con tokens USB admitirán un modelo de token específico; esto debe verificarse. A menudo, la elección del token no está determinada por éste. características de calidad y la capacidad de trabajar con ciertas aplicaciones o sistemas operativos. Al comprar, no debe guiarse por el tamaño de la memoria del token; el pequeño tamaño de la memoria de la tarjeta inteligente es una ventaja, ya que no permite a los empleados registrar otra información confidencial desde su computadora de trabajo. Al comprar un kit (un programa más un token USB), debe asegurarse de que se le proporcionen los controladores para el token USB y averiguar cómo se formateará el token: mediante el programa mismo o mediante una utilidad independiente.

Composición de una llave USB

● Procesador (generalmente un procesador RISC): control y procesamiento de datos;

● Procesador para resolver problemas criptográficos en nivel de hardware- implementación de algoritmos GOST 28147-89, DES, 3DES, RSA, DSA, MD5, SHA-1 y otras transformaciones criptográficas;

● Controlador USB: proporciona una interfaz con un puerto USB de computadora;

● RAM: almacenamiento de datos modificables;

● Memoria EEPROM reprogramable: almacenamiento de claves de cifrado, contraseñas, certificados y otros datos importantes;

Constante memoria ROM- almacenamiento de comandos y constantes.

El sistema de archivos token se comparte entre múltiples aplicaciones y servicios. El usuario no necesita conocer muchas contraseñas: el token las recuerda. Sólo es necesario recordar un breve código PIN que identifica al usuario como propietario de todas las contraseñas almacenadas en la memoria de la llave. Después de varios intentos fallidos de PIN, el procesador "bloquea" el token hasta que interviene el administrador de seguridad, ya que se supone que la clave ha sido robada o perdida.

Para garantizar una autenticación sólida, es necesario garantizar la confiabilidad y confiabilidad del principal (el objeto de la autenticación: el remitente o el destinatario) y, por lo tanto, se deben utilizar algoritmos criptográficos confiables y esquemas de autenticación bien pensados. Una autenticación fuerte en este contexto significa que la información que autentica directamente al usuario no va más allá del token, sino que solo participa en cálculos criptográficos, cuyo resultado serán unas secuencias de ceros y unos, descifradas por otro principal de forma absolutamente fiable y precisa. y determinar de forma fiable el remitente. Por eso es importante comprar modelos con un generador de claves incorporado, para que información importante no pasó del token a la computadora. Además, todos los cálculos criptográficos importantes para la verificación de certificados deben implementarse en el hardware, lo que también elimina la posibilidad de compromiso a nivel de la aplicación informática.

Principales características de los productos ofrecidos en el mercado.

Producto

Capacidad de memoria, kB

Profundidad de bits número de serie

SO compatible

Algoritmos de cifrado/hashing

Tecnologías arcoíris, iKey 2032

Windows 95, 98, NT, certificado para 2000, XP, 2003, Windows 95, 98, NT, certificado para 2000, XP, 2003, RedHat Linux, Mandrake, SuSe (certificado por FSTEC de Rusia)

Tecnologías arcoíris, iKey 3000

Windows 95, 98, ME, NT, 20003, 2000 certificado, XP, RedHat Linux, Mandrake, SuSe

MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1

Sistemas de conocimiento Aladdin, eToken Pro

Windows 95, 98, ME,NT, 20003, Linux, DOS (certificado por FSTEC de Rusia)

RSA/1024, DSA, DES (BCE, CBC), 3DES (CBC), SHA-1, MAC, iMAC, MAC3, iMAC3

"Activo" junto con "Ankad", ruToken

Windows 98/ME/2000/XP/2003

GOST 28147-89 hardware, otros - software

Tecnologías Feitian, ePass2000

Windows 98/ME/2000/XP/2003, Linux y MACOS 8/9, OS X

Los modelos enumerados en la tabla son adecuados para construir un sistema de autenticación basado en claves publicas(PKI) mediante certificados. Consideremos el mecanismo de dicha autenticación. La tecnología PKI se basa en el uso de dos claves relacionadas matemáticamente: pública y secreta (privada). Utilizando la clave pública se cifra el mensaje, y utilizando la clave secreta se descifra, pero naturalmente, conociendo la clave pública, es imposible obtener la privada. Estas transformaciones criptográficas se implementan basándose en RSA o DSA. La solidez criptográfica de los mensajes cifrados está garantizada por la irresolubilidad de dos problemas matemáticos en tiempo polinomial: la factorización grandes números por factores primos (RSA) y logaritmo discreto en un campo finito simple (DSA). La ventaja más importante es que la información de autenticación del usuario no se transmite a través de la red en absoluto, sino que solo participa en los cálculos, tanto en el lado del cliente como en el del servidor, lo cual está de acuerdo con los principios autenticación fuerte. El protocolo de autenticación Handshake se basa en este principio.

Tenga en cuenta que la compatibilidad con RSA y DSA, incluida la generación de hardware de sus claves, con un tamaño de clave de 2048 bits, es una buena garantía de seguridad, que en principio no pueden proporcionar los protocolos de cifrado simétricos (por ejemplo, la familia Algoritmos DES. Normalmente, estos protocolos se utilizan para cifrar el tráfico utilizando una clave obtenida después de la autenticación del principal. característica interesante Los productos ruToken son implementación de hardware. estándar ruso cifrado simétrico GOST 28147-89, cuyas ventajas incluyen la inutilidad de un ataque forzado, una implementación eficiente y un alto rendimiento en las computadoras modernas.

Las empresas fabricantes indican una gran cantidad de algoritmos de cifrado/hashing implementados en las descripciones de sus productos; sin embargo, la mayoría de ellos son algoritmos de hash. Son funciones unidireccionales y sirven para convertir, por ejemplo, un código PIN u otra información sensible para almacenarla en sistema de archivos token, ya que es difícil recuperar el código PIN de un hash en un formato legible por humanos. Así, la presencia gran número Los algoritmos de hash no determinan la "calidad" del token. Aunque en algunos casos las transformaciones hash son utilizadas por otros algoritmos como auxiliares, debes decidir de inmediato qué algoritmos necesitas soportar en el funcionamiento de tu sistema de información.

En algunos casos, es necesaria la autenticación mutua: verificación mutua de la autenticidad de los participantes en el intercambio de información (cuando no solo el servidor verifica la autenticidad del usuario, sino también viceversa). Los protocolos de desafío-respuesta son ideales para la autenticación mutua con algo de relleno (a menudo llamado apretón de manos).

También puede merecer la pena prestar atención a si un producto en particular tiene un certificado gubernamental. Pero, por supuesto, su ausencia no indica el fallo del producto. Todos ellos están fabricados de acuerdo con los requisitos internacionales y cumplen con los estándares internacionales. La presencia de certificados es bastante atractiva para las agencias gubernamentales, ya que es obligatorio utilizar únicamente herramientas de seguridad de la información certificadas. A veces puede que valga la pena comprar una solución más barata (por ejemplo, ruToken), pero que podrá proporcionar el nivel de seguridad necesario en este contexto. Por eso es tan importante evaluar adecuadamente sus propias necesidades antes de implementar un sistema de autenticación basado en token USB.

Características básicas de los tokens:

● Seguro de usar correo electrónico: firma digital electrónica de mensajes de correo, cifrado de mensajes de correo.

● Acceso remoto seguro a recursos corporativos: conexión segura a Redes VPN, comunicación segura con recursos web protegidos.

Usar un token como almacenamiento para varios certificados y contraseñas.

Lo último a lo que quería prestar atención era al soporte de software y sistemas operativos, porque a menudo la infraestructura PKI se implementa en una red que ha estado funcionando durante mucho tiempo, donde ya se ha formado un círculo de aplicaciones necesarias para respaldar los negocios. tareas. Entonces, para trabajar en un entorno Linux las mejores soluciones Habrá claves iKey y eToken Pro. De hecho, vale la pena prestar atención a la compatibilidad de lo que ofrece el fabricante. solución preparada con otros productos, así como soluciones para plataformas específicas, lo que en última instancia solo facilitará tanto la implementación de tokens como su uso.

El rápido crecimiento de los sectores del mercado de sistemas "3A" (autenticación, autorización, administración segura) y herramientas de autenticación sólidas ha llevado al surgimiento de muchos varios tipos identificadores de hardware y software, así como sus modificaciones híbridas. Un cliente que quiere implementar el sistema. autenticación multifactor, hoy se enfrenta elección difícil. Las tendencias en la convergencia de la autenticación física y lógica, la integración de soluciones de inicio de sesión único y sistemas de gestión de identidad no hacen más que aumentar el desafío de la elección. En este artículo intentaremos ayudar al cliente a comprender las soluciones disponibles en el mercado y tomar la decisión correcta.

Uno de los más amenazas peligrosas La seguridad informática hoy en día es acceso no autorizado A información confidencial. Según un estudio del Instituto seguridad informática EE.UU. y el FBI (ver CSI/FBI Computer Crime and Security Survey 2005), el año pasado el 55% de las empresas reportaron incidentes relacionados con el acceso no autorizado a datos. Además, cada empresa perdió una media de 303.000 dólares en 2005 debido al acceso no autorizado, y las pérdidas aumentaron 6 veces en comparación con 2004.

Las empresas respondieron de inmediato al creciente peligro de amenazas. Según IDC (consulte "Previsión del software de seguridad de Rusia para 2005-2009 y participación de proveedores en 2004"), las empresas rusas no sólo aumentaron sus inversiones en seguridad de TI en un 32,7%, sino que también centraron en gran medida sus esfuerzos en implementar sistemas "3A" (autenticación, autorización, administración segura).

El segmento de mercado de sistemas 3A creció un 83% durante el año. Esta dinámica es bastante comprensible: los medios de autenticación fuerte, que subyacen a todo el concepto "3A", permiten proteger a la empresa de una amplia gama de amenazas a la seguridad de TI, incluido el acceso no autorizado a la información y el acceso no autorizado a red corporativa por parte de los empleados, y fraudes, y fugas de datos por robo de dispositivos móviles o acciones del personal, etc., y se sabe que cada una de estas amenazas causa enormes daños cada año (Fig. 1).

Arroz. 1. Pérdidas por varios tipos ataques, dólares

La autenticación sólida se basa en un proceso de verificación de dos o tres factores que puede otorgar al usuario acceso a los recursos solicitados. En el primer caso, el empleado deberá acreditar que conoce la contraseña o PIN y dispone de un determinado identificador personal ( llave electrónica o tarjeta inteligente), y en el segundo caso el usuario presenta otro tipo de datos identificativos, como por ejemplo datos biométricos.

El uso de la autenticación multifactor reduce en gran medida el papel de las contraseñas, y esta es otra ventaja de la autenticación de hardware sólida, ya que, según algunas estimaciones, hoy en día los usuarios necesitan recordar alrededor de 15 diferentes contraseñas para acceder a las cuentas. Debido a la sobrecarga de información, los empleados las anotan en papel para evitar olvidar las contraseñas, lo que reduce el nivel de seguridad debido al compromiso de las contraseñas. Olvidar las contraseñas provoca graves daños económicos a las empresas. Así, un estudio del Grupo Burton (ver “Enterprise Single Sign-On: Access Gateway to Applications”) mostró que cada llamada a servicio informático La asistencia le cuesta a la empresa entre 25 y 50 dólares, y entre el 35 y el 50% de todas las llamadas provienen de empleados olvidadizos. Así, el uso de refuerzo o autenticación de dos factores permite no solo reducir los riesgos de seguridad de TI, sino también optimizar los procesos internos de la empresa debido a la reducción de pérdidas financieras directas.

Como ya se mencionó, la alta eficiencia de las herramientas de autenticación multifactor ha llevado a rápido crecimiento mercado de sistemas "3A". La abundancia de soluciones presentadas requiere que los clientes tengan la competencia adecuada, porque cada tipo de identificador personal propuesto se caracteriza por sus propias ventajas y desventajas y, en consecuencia, sus escenarios de uso. Además, el rápido desarrollo de este segmento de mercado en los próximos años hará que algunos de los identificadores de hardware que hoy se promocionan queden atrás. Así, al dar preferencia hoy a una u otra solución, el cliente debe tener en cuenta no solo las necesidades actuales de la organización, sino también las futuras.

Tipos de herramientas de autenticación personal

Actualmente existen en el mercado multitud de identificadores personales diferenciándose tanto en capacidades técnicas tanto funcionalidad como factor de forma. Echemos un vistazo más de cerca.

fichas USB

El proceso de autenticación de dos factores mediante tokens USB se produce en dos etapas: el usuario conecta este pequeño dispositivo en el puerto USB de la computadora e ingresa el código PIN. La ventaja de este tipo de medios de autenticación es alta movilidad, ya que hay puertos USB en cada puesto de trabajo y en cualquier portátil.

Al mismo tiempo, el uso de un separado dispositivo físico, que puede proporcionar almacenamiento seguro de datos altamente confidenciales (claves de cifrado, certificados digitales etc.), le permite implementar un inicio de sesión local o remoto seguro red informática, cifrar archivos en computadoras portátiles, estaciones de trabajo y servidores, administrar los derechos de los usuarios y realizar transacciones seguras.

Tarjetas inteligentes

Estos dispositivos, que parecen tarjeta de crédito, contienen un microprocesador seguro que permite operaciones criptográficas. La autenticación exitosa requiere insertar una tarjeta inteligente en el lector e ingresar una contraseña. A diferencia de los tokens USB, las tarjetas inteligentes proporcionan significativamente mayor seguridad almacenar claves y perfiles de usuario. Las tarjetas inteligentes son óptimas para su uso en infraestructura de clave pública (PKI), ya que almacenan material de claves y certificados de usuario en el propio dispositivo, y la clave privada del usuario no cae en manos hostiles. ambiente externo. Sin embargo, las tarjetas inteligentes tienen un serio inconveniente: baja movilidad, ya que requieren un lector para trabajar con ellas.

Tokens USB con chip incorporado

De tarjetas inteligentes este tipo El identificador personal difiere sólo en el factor de forma. Los tokens USB con chip incorporado tienen todas las ventajas de las tarjetas inteligentes asociadas con el almacenamiento seguro de información confidencial y la implementación de operaciones criptográficas directamente dentro del token, pero no tienen su principal inconveniente, es decir, no requieren un Dispositivo de lectura especial. La multifuncionalidad de los tokens garantiza amplias oportunidades sus aplicaciones, desde una autenticación sólida y la organización de redes locales o inicio de sesión remoto en la red informática antes de construir sistemas legalmente importantes basados ​​en tokens gestión de documentos electrónicos, organizar canales seguros de transmisión de datos, gestionar los derechos de los usuarios, realizar transacciones seguras, etc.

fichas OTP

La tecnología OTP (contraseña de un solo uso) implica el uso de contraseñas de un solo uso que se generan mediante un token. Para ello se utiliza la clave secreta del usuario, ubicada tanto dentro del token OTP como en el servidor de autenticación. Para obtener acceso a los recursos necesarios, el empleado debe ingresar una contraseña creada con un token OTP. Esta contraseña se compara con el valor generado por el servidor de autenticación, después de lo cual se toma la decisión de otorgar acceso. La ventaja de este enfoque es que el usuario no necesita conectar el token a la computadora (a diferencia de los tipos de identificadores anteriores). Sin embargo, la cantidad de aplicaciones de seguridad de TI que admiten la capacidad de trabajar con tokens OTP es ahora mucho menor que la de tokens USB (tanto sin chip como sin chip) y tarjetas inteligentes. La desventaja de los tokens OTP es tiempo limitado vida útil de estos dispositivos (de tres a cuatro años), ya que la autonomía requiere el uso de una batería.

Fichas híbridas

Estos dispositivos, que combinan la funcionalidad de dos tipos de dispositivos (tokens USB con chip incorporado y tokens OTP), aparecieron en el mercado hace relativamente poco tiempo. Con su ayuda, puede organizar el proceso de autenticación de dos factores con una conexión a un puerto USB y autenticación sin contacto en los casos en que el puerto USB no esté disponible (por ejemplo, en un cibercafé). Tenga en cuenta que las tarjetas inteligentes híbridas, que tienen la funcionalidad de tokens USB y OTP, y también tienen un chip incorporado, corresponden al más alto nivel de flexibilidad y seguridad.

Fichas de software

EN en este caso El papel del token lo desempeña un software que genera contraseñas de un solo uso, que se utilizan junto con contraseñas normales para la autenticación multifactor. Residencia en clave secreta el programa de token genera una contraseña de un solo uso, que se muestra en la pantalla de la computadora o dispositivo móvil y debe usarse para la autenticación. Pero como el token es un programa grabado en la estación de trabajo, computadora movil o Teléfono móvil, entonces nada almacenamiento seguro No se menciona información clave. De este modo, este método Más seguras que las contraseñas normales, pero mucho más débiles que el uso de identificadores de hardware.

Características de varios tipos de identificadores personales.

Mercado ruso de autenticación multifactor

Para mercado ruso Las herramientas de autenticación sólidas se caracterizan por una prevalencia muy pequeña de tokens OTP, que ocupan más de la mitad del segmento global de identificadores personales. Hoy en día, las entregas de estos dispositivos se destinan principalmente a Oficinas de representación rusas grandes empresas occidentales, cuyas oficinas centrales y toda la infraestructura de TI se construyeron inicialmente sobre tokens OTP.

El principal factor que obstaculiza el desarrollo del mercado ruso de tokens OTP es el alto costo de propiedad (coste total de propiedad, TCO) y el corto ciclo vital. La batería incorporada suele durar de tres a cuatro años, tras lo cual el cliente se ve obligado a sustituir el dispositivo, pagando alrededor del 70% de su coste inicial. Tomemos como ejemplo el token OTP RSA SecurID, popular en Occidente. El costo de la solución para 500 usuarios, que incluye servidor principal y el servidor replicador, el software y los propios identificadores personales, 76 mil dólares (un token SecurID cuesta 79 dólares). Además, según los distribuidores, cada año habrá que gastar otros 6,6 mil dólares en soporte, por lo que, en general, la solución costará 82,6 mil dólares y el coste de una estación de trabajo equipada con un token OTP será de al menos 165 dólares. Muñeca.

A modo de comparación, tomemos otra clave electrónica con un generador de contraseñas de un solo uso: eToken NG-OTP de Aladdin. En este caso, el esquema de cálculo para uno lugar de trabajo ligeramente diferente: no es necesario comprar servidores de autenticación, basta con tener un servidor versión de Windows, que la inmensa mayoría está ahora equipada con redes locales empresas. Precio sistema universal La gestión de todos los medios de autenticación (incluidos los diferentes tipos) a escala empresarial (eToken TMS) ascenderá a unos 4 mil dólares ( licencia de servidor), y el precio total de 500 tokens (con el precio de un dispositivo de 67 dólares) es igual a 33,5 mil dólares. Sumemos aquí la licencia de usuario para cada token: 24 dólares - hasta 500 usuarios y 19 dólares - más de 500. Por lo tanto, el costo de una estación de trabajo con un sistema integrado de autenticación fuerte por contraseñas de un solo uso Serán 99 dólares. y basado en 501 usuarios: $94.

Sin embargo, incluso a pesar de esta diferencia, el costo de proteger un lugar de trabajo utilizando un token "estándar", es decir, sin OTP, es significativamente menor. Por ejemplo, para el mismo eToken PRO, el token USB con chip integrado más popular de la línea Aladdin, el coste de una estación de trabajo calculado con la misma fórmula es de sólo 47 dólares.

Por lo tanto, el mercado ruso de identificadores personales difiere significativamente del global y se compone principalmente de tokens USB con un chip incorporado; representan aproximadamente el 80-85% del mercado. Sin embargo, los tokens USB con chip incorporado son los más populares hoy en día. medios efectivos autenticación fuerte. Así, analistas de las principales consultoras, como IDC y Gartner, creen que para 2008 mayoría Todo el mercado de identificadores personales estará compuesto por tokens USB con un chip incorporado. Además, Gartner nombró los tokens USB con chip incorporado como la mejor inversión en seguridad. acceso seguro a datos de 2005.

Según datos internos Aladdin-Rusia, el líder mercado interno Los tokens USB con chip incorporado son empresa rusa Aladdin (70%), seguido por Rainbow Technologies (25%) y Aktiv (5%) con un importante rezago (Fig. 2).

Arroz. 2. Estructura del mercado ruso de tokens USB con chip incorporado (

La humanidad está constantemente inventando nuevas formas de protegerse de los intrusos. Uno de ellos es un token USB. ¿Cuál es el mecanismo de su funcionamiento? ¿Qué es él? ¿Qué es una ficha de todos modos? Aquí hay una breve lista de cuestiones que consideraremos.

¿Qué es una ficha?

Así lo llaman dispositivo de hardware, que puede formar un par de claves y establecer un firma digital. Para realizar operaciones usándolo, debe ingresar un código PIN. Al mismo tiempo, no necesita instalar varios complementos o controladores para interactuar con su computadora. En este caso, la computadora define el token como un dispositivo HID. También suele tener como funcionalidad adicional pequeño almacenamiento de datos. Pero su objetivo principal es actuar como almacenamiento de claves. Será muy difícil para un atacante adivinar la contraseña debido a que después del tercer intento fallido entrada será bloqueado. Eso es lo que es una ficha.

Otras características

Además de las opciones ya comentadas, este dispositivo puede realizar otras tareas que se le asignen. Entre ellos:

  1. Cifrado/descifrado de datos mediante un algoritmo simétrico.
  2. Generación y verificación de firma digital.
  3. Hash de datos.
  4. Generación de claves de cifrado.

Para completar la imagen de un token, se puede representar como una “caja negra”. Entonces, durante las operaciones criptográficas, los datos se reciben como entrada, se convierten en el propio dispositivo (para esto se usa una clave) y se transmiten a la salida. Los tokens tienen mucho en común con las microcomputadoras. Así, la información se suministra y emite a través de un puerto USB, el dispositivo tiene su propia RAM y memoria de larga duración (y también protegida), así como su propio procesador.

Acerca de las contraseñas

Se han convertido en clásicos modernos. La principal ventaja de las contraseñas, que las hace tan comunes, es su facilidad de uso. Pero nuestro olvido, la transmisión por canales no seguros, su escritura en el teclado, la previsibilidad y muchos otros aspectos ponen en duda nuestra seguridad. El problema del cifrado también es grave. Veamos una clave criptográfica de 256 bits. Si usas un generador números pseudoaleatorios, entonces la contraseña resultante tendrá buenas propiedades estadísticas. ¿Cuáles son las combinaciones que las personas eligen para proteger sus datos? En muchos casos, las contraseñas son palabras del diccionario o algo importante para ellos (su nombre, fecha de nacimiento, etc.).

Sólo necesita leer las noticias sobre el último hackeo de un sitio web grande o de la base de datos de una empresa y ver qué combinaciones elige la gente. Muy a menudo hay números seguidos, comenzando con uno, o una combinación de nombre y año de nacimiento. Definitivamente esto es muy malo. Es para estos casos que se prevé el uso de tokens. Después de todo, podrán proteger los datos en nivel superior utilizando los parámetros recomendados, cuando a los atacantes les resultará difícil simplemente adivinar la contraseña. Después de todo, el código del token se compilará de acuerdo con todas las reglas de los protocolos criptográficos. Como ejemplo, considere la autenticación. Debido al hecho de que se implementará el principio "cualquiera entre mil", incluso si el atacante intercepta el tráfico o la base de datos desaparece del servidor, las posibilidades de éxito del delincuente son tan improbables que se pueden considerar inexistentes. Además, puedes olvidar la contraseña, pero la clave no. Después de todo, se almacenará en el token.

Cifrado de datos

Hemos visto qué es un token, ahora veamos cómo funciona este sistema de seguridad. Los datos en sí se cifran mediante una clave criptográfica. Este, a su vez, está protegido por contraseña. Estos últimos no siempre cumplen los requisitos de seguridad y también pueden olvidarse fácilmente. En este caso, hay dos opciones:

  1. La clave está en el token, pero no sale del dispositivo. Esta opción es adecuada cuando hay poca información. En este caso tenemos baja velocidad descifrado y el hecho de que es casi imposible para un atacante extraerlo.
  2. La clave reside en el dispositivo y, cuando los datos se cifran, se transmiten a RAM. Esta opción se utiliza cuando se trabaja con grandes cantidades de datos. En este caso es posible conseguir la clave. Pero esta no es una tarea fácil: la misma contraseña es más fácil de robar.

Si desea recibir un token, debe comprender que tendrá que pagarlo. Aunque estos dispositivos pueden realizar una serie de operaciones criptográficas diferentes que son bastante difíciles de entender para la mayoría de las personas, el uso de dichos dispositivos en sí no creará problemas porque el proceso es intuitivo. No es necesario que el usuario tenga ningún conocimiento especializado o comprensión de lo que sucede en el token.

Conclusión

Entonces vimos qué es una ficha. Teóricamente, la distribución esta decisión La seguridad futura le ayudará a evitar casos en los que se roben datos o contraseñas valiosos. En última instancia, esto dará como resultado un aumento en el nivel de seguridad.

Según los analistas de Kaspersky Lab, en 2017 hubo más de 260 millones de intentos de ataques de phishing: esta es una forma de obtener todas sus contraseñas y datos. Incluso la doble autenticación mediante SMS o una aplicación especial puede no salvarlo de esto.

Tabla de intentos de ataques de phishing

Pero a la gente se le ha ocurrido algo llamado token USB: protege mejor tus datos. Te diremos por qué este método es más confiable y cómo configurar todo correctamente.

¿Qué es y cómo funciona?

Un token USB es un dispositivo pequeño similar a una unidad flash normal. Hay uno especial dentro de ellos. código único, reemplazando otros métodos doble autenticación.

De hecho, se puede comparar con la llave de su apartamento: si la llave está en la computadora, puede iniciar sesión en su cuenta. La única diferencia aquí es que tu cuenta es mucho más difícil de hackear con una clave maestra.

¿Por qué es esto más seguro que la doble autenticación?

La doble autenticación normal funciona así: ingresa su contraseña de correo electrónico y recibe un código de confirmación por SMS para iniciar sesión en su cuenta. Resulta que si el atacante no tiene su teléfono inteligente, no podrá iniciar sesión con su nombre de usuario. Pero en realidad esto no es del todo cierto.

En casi todos los servicios con esta función, un atacante puede interceptar su código de su cuenta debido a vulnerabilidad general, incluido en el sistema SS7. A través de él, cualquiera puede monitorear su teléfono inteligente: escuchar conversaciones y leer todos los mensajes. Los operadores no reconocen este problema, aunque ya tiene más de 30 años.

Las aplicaciones de autenticación como Google Authentificator son más fiables a este respecto. Generado para ti cada 30 segundos Nueva contraseña- Sólo tu teléfono inteligente y tu cuenta de Internet lo saben. Pero aun así, los hackers pueden llegar a ti, especialmente si eres crédulo.

Un atacante puede obtener acceso a estos códigos de seguridad durante la fase de configuración de la aplicación. Además, es posible que lo engañen para que acceda a un sitio falso de Google, donde usted mismo revelará todas sus contraseñas a los piratas informáticos.

¿Quién utilizará estas “unidades flash”?

Todos los empleados de Google lo utilizan y están muy contentos. A principios de 2017, todos los empleados de la corporación adoptaron este método de autenticación de cuentas. Como resultado, este año no se produjo ni un solo robo de información personal.

Ahora Google cree que los tokens USB son los más manera confiable protege tu cuenta. Como esto.

¡Todo es demasiado bueno! ¿Qué tipo de submarinos?

Sí, trampas hay. Hasta ahora, estos tokens son totalmente compatibles solo en dos navegadores: Google Chrome y Ópera. Firefox implementó esto a través de una extensión y prometen agregarlo a Edge más adelante. Desarrolladores de Safari No dicen nada sobre esta función en absoluto.

Y otro inconveniente está relacionado con los teléfonos inteligentes. Para iniciar sesión en su cuenta en su iPhone, necesitará un dispositivo Bluetooth; cuesta un poco más. También puedes probar con un adaptador, pero no hemos probado este método, por lo que es posible que no funcione.

No da miedo. ¿Cómo empezar a utilizar la clave?

En primer lugar, necesitas ese mismo token USB. Puede comprarlo en Internet; en Rusia, la forma más sencilla de conseguirlo es JaCarta U2F. Compré uno por 1500 rublos.


Así es el token USB Jakarta U2F

El procedimiento para configurar una clave es el mismo en casi todas partes, por lo que mostraremos la configuración usando el ejemplo de una cuenta de Google.

1 - Vaya a la configuración de autenticación dual de su cuenta. Haga clic en “Elegir otro método” y seleccione allí una llave electrónica:


2 - No puedes conectar el dongle a la computadora de inmediato. Asegúrate de tenerlo en tu mano y haz clic en “Siguiente”:


3 - Inserta la llave en el conector USB y presiona el botón que se encuentra en ella:


La tecla se pondrá roja y el navegador pedirá permiso para acceder al dispositivo:



La cosita negra es un botón. Debes hacer clic en él después de conectar la clave.

4 - Tu clave quedará registrada y tendrás que darle un nombre:


5 - ¡Listo! Ahora agrega formas adicionales Inicie sesión en su cuenta, mediante la aplicación o el código SMS. Esto es necesario si pierde su token. Pero no haré esto.


Y ahora un pequeño desafío para los lectores. Aquí están todos los detalles de la cuenta en la que instalé mi llave USB:

Acceso: [correo electrónico protegido]

Contraseña: 123456abcd!123456

Si puede iniciar sesión en esta cuenta antes del 15 de agosto y dejarme un mensaje allí, le transferiré 5 mil rublos. ¡Vaya piratas informáticos!

Por favor dígame, existen programas que pueden crear un token USB desde una unidad flash. Aquellos. El significado es este: vengo a la computadora, conecto una unidad flash, me autoriza y puedo trabajar. Saco la unidad flash y listo: no hay acceso, los datos no se pueden obtener ni siquiera quitando el disco duro y llamando a un psíquico)

Navegación de publicaciones

¿Cómo hacer un token USB desde una unidad flash?: 7 comentarios

  1. alma cachorro

    Guardant no es exactamente lo que necesitas.
    Mire Rutoken (http://www.rutoken.ru): este es un token USB. Ruso, económico, confiable y probado en cientos de miles de implementaciones.
    Si todo es tan serio para usted, además del token deberá comprar software adicional (consulte la sección "Soluciones para socios" en el sitio web) o jugar con la configuración del eje.
    Como ya se mencionó, no será posible crear un token desde una unidad flash, porque esta es la esencia. diferentes dispositivos, a pesar del factor de forma similar. Para decirlo sin rodeos, no se puede almacenar en un token. archivos regulares. Desde memoria interna Se cifra con los recursos del propio token, su volumen es limitado y se utiliza para almacenar información esencial, por ejemplo, claves de cifrado, certificados, etc. Para cifrado grandes volúmenes Los procesadores utilizados en los dispositivos de tipo token USB no están diseñados para este tipo de datos: la potencia es baja para este tipo de tareas y la criptografía sólida no es rápida. Por lo tanto, no existen en el mercado tokens USB completos con una unidad cifrada.

  2. s-ergey

    En mi opinión, es imposible crear un token USB desde una unidad flash. Una unidad flash es un dispositivo de almacenamiento. Un token USB no es sólo un dispositivo de almacenamiento, sino también un procesador integrado que realiza operaciones criptográficas. En cuanto a "Saco la unidad flash y no hay acceso..." puedes iniciar sesión usando un token USB Sistema operativo y, por lo tanto, sin un token, será muy difícil iniciar sesión. Pero toda la información en el disco duro no estará cifrada, por lo que el "psíquico" probablemente aún podrá obtener la información...

  3. coopjmz
  4. gato fedot

    http://www.guardant.ru/
    Los teníamos para probar... Cifran toda la información y sin esta unidad flash clave no puedes usar la computadora (tendrás que derribar Windows, si sucede algo).

  5. Ígor Titov

    Si hablamos de la idea de cifrado, entonces True crypt, o DiskCryptor, es la parte del software que realmente cifra la información, y el token USB solo se necesita como clave, pero es mucho más conveniente usar la contraseña. en el gestor de arranque (las mismas utilidades, no el de Windows), es más fácil comprar ese mismo token USB ya que su costo es barato (sin software de cifrado, que es un excelente reemplazo para las utilidades anteriores), y no se puede convertir un unidad flash para ello, dispositivos completamente diferentes
    true cryp le permite crear un disco CD de arranque (aproximadamente 2 megabytes) que, en caso de perder la clave/olvidar la contraseña, descifra el sistema (contiene una copia de su clave) en el que naturalmente debe almacenarse. lugar apartado, ya que en caso de falla del sistema, este descifra el disco (esta es una gran ventaja de esta utilidad)



Popular en la categoría:
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba