USB-token: wat is het en hoe gebruik je het? Wat is een token en waarom is het nodig?

Elk jaar wordt de elektronische documentstroom tussen tegenpartijen op afstand steeds populairder. Met zijn hulp wordt het belangrijkste obstakel - afstand - overwonnen, wordt de tijd verkort en wordt de interactieprocedure vereenvoudigd.

Om de authenticiteit van het document te bevestigen en te certificeren, werd een uniek codegeneratieprogramma ontwikkeld - elektronische handtekening, die wettelijk wordt erkend als identiek aan een handgeschreven handtekening op papier (nr. 63-FZ van 04/06/2011). Maar hoe meer gebruikers betrokken zijn bij het proces van elektronische interactie, hoe acuter de kwestie van het beschermen van elektronische communicatie tegen indringers ontstaat.

Laserschijven en computer-flashdrives kunnen niet beschermen wat erop staat vertrouwelijke informatie van malware en kopiëren. Uitstekende bescherming wordt geboden door smartcards die zijn gemaakt op basis van een microchip, waarvan het werkingsprincipe identiek is aan het gebruik plastic kaarten. Maar om met zulke smartcards te werken, moet je uitrusten werkplek speciale leesapparatuur.

Voordelen van eToken PRO USB-sleutel (Java)

De ideale oplossing probleem is de eToken PRO (Java) USB-sleutel, wat handig is en betrouwbare bescherming. Twee factoren elektronische sleutel eToken PRO (Java) is ontworpen als USB-sleutelhanger en kan worden gebruikt op alle soorten computers en mobiele apparaten met een USB-aansluiting. Ingebouwde chip, vergelijkbaar met smartcards, biedt maximale beveiliging op basis van tweefactorauthenticatie.

De behuizing van de eToken PRO (Java) USB-sleutel is gemaakt van gegoten plastic. Het is onmogelijk om het te demonteren zonder sporen van een hackpoging achter te laten. Dankzij het miniatuurformaat van de penning en het lichte gewicht kan de eigenaar deze altijd bij zich houden.

Kenmerken van de eToken PRO USB-sleutel (Java)

In tegenstelling tot een traditionele USB-stick heeft een token een beperkte opslagcapaciteit. In het eToken PRO (Java)-model is dit 72 KB. Deze geheugengrootte is voldoende om 10 sleutelcontainers op te slaan, te laden aanvullende toepassingen op Java-taal en stuurprogramma's met automatische downloadfunctie.

Fabrieksversie van eToken PRO (Java) wordt meegeleverd blauwe kleur. Maar bij bestelling van een grote batch kan de kleur van de koffer op verzoek van de klant worden aangepast;

Indien nodig worden eToken PRO (Java) USB-sleutels met een ingebouwde radiofrequentietransponder - een passieve RFID-radiotag - vervaardigd.

Technische kenmerken van de eToken PRO USB-sleutel (Java)

• doel - overheidsinstanties, commerciële organisaties, particulieren;
• ingebouwde Atmel AT90SC25672R-chip;
• beveiligde geheugencapaciteit 72 KB;
• Compatibiliteit: Windows, Linux, Mac OS;
• beveiliging - tweefactorauthenticatie;
• gecertificeerd door FSTEC van de Russische Federatie;
• Fabrikant: Aladdin RD JSC.

Producten uit de eToken-lijn zijn sinds begin 2017 niet meer leverbaar.

Volgens analisten van Kaspersky Lab waren er in 2017 meer dan 260 miljoen pogingen tot phishing-aanvallen. Dit is één manier om al uw wachtwoorden en gegevens te bemachtigen. Zelfs dubbele authenticatie via sms of een speciale applicatie kan u hier mogelijk niet van redden.

Grafiek van pogingen tot phishing-aanvallen

Maar mensen hebben iets bedacht dat een USB-token wordt genoemd: het beschermt uw gegevens beter. We vertellen je waarom deze methode betrouwbaarder is en hoe je alles correct instelt.

Wat is het en hoe werkt het?

USB-token - klein apparaat vergelijkbaar met gewone flashdrive. Er zit een speciaal exemplaar in unieke code, ter vervanging van andere methoden dubbele authenticatie.

In feite is het te vergelijken met de sleutel van uw appartement: als de sleutel in de computer zit, kunt u inloggen op uw account. Het enige verschil hier is dat uw account veel moeilijker te hacken is met een hoofdsleutel.

Waarom is dit veiliger dan dubbele authenticatie?

Normale dubbele authenticatie werkt als volgt: u voert uw e-mailwachtwoord in en u ontvangt via sms een bevestigingscode om in te loggen op uw account. Het blijkt dat als de aanvaller uw smartphone niet heeft, hij niet kan inloggen met uw login. Maar in werkelijkheid is dit niet helemaal waar.

Bij vrijwel alle diensten met deze functie kan een aanvaller uw accountcode onderscheppen vanwege een veel voorkomende kwetsbaarheid in het SS7-systeem. Hiermee kan iedereen uw smartphone volgen, naar gesprekken luisteren en alle berichten lezen. Operators herkennen dit probleem niet, ook al is het al meer dan 30 jaar oud.

Authenticator-apps zoals Google Authentificator zijn in dit opzicht betrouwbaarder. Wordt elke 30 seconden voor u gegenereerd Nieuw wachtwoord- alleen uw smartphone en internetaccount weten het. Maar toch kunnen hackers u te pakken krijgen, vooral als u goedgelovig bent.

Een aanvaller kan toegang krijgen tot deze beveiligingscodes tijdens de installatiefase van de applicatie. Daarnaast kan het zijn dat je misleid wordt en dat je naar een nep-Google-site gaat, waar je zelf alle wachtwoorden weggeeft aan hackers.

Wie zal deze “flashdrives” gebruiken?

Alle Google-medewerkers gebruiken het en zijn er erg blij mee. Begin 2017 zijn alle medewerkers van het bedrijf overgestapt op deze methode om hun rekeningen te authenticeren. Als gevolg hiervan heeft er dit jaar geen enkele diefstal van persoonlijke informatie plaatsgevonden.

Nu is Google van mening dat USB-tokens het meest voorkomen betrouwbare manier bescherm uw account. Zoals dit.

Alles is te goed! Wat voor onderwatersoorten?

Ja, valkuilen er is. Tot nu toe worden deze tokens slechts in twee browsers volledig ondersteund: Google Chrome en Opera. Firefox heeft dit via een extensie geïmplementeerd en ze beloven deze later aan Edge toe te voegen. Safari-ontwikkelaars zeggen helemaal niets over deze functie.

En een ander nadeel heeft betrekking op smartphones. Om in te loggen op je account op je iPhone heb je een Bluetooth-dongle nodig - deze kost iets meer. Je kunt ook een adapter proberen, maar deze methode hebben we niet getest, dus het kan zijn dat deze niet werkt.

Het is niet eng. Hoe kunt u de sleutel gaan gebruiken?

Allereerst heb je datzelfde USB-token nodig. Je kunt het op internet kopen - in Rusland is de gemakkelijkste manier om het te krijgen JaCarta U2F. Ik kocht er een voor 1500 roebel.

De procedure voor het instellen van een sleutel is vrijwel overal hetzelfde, daarom zullen we de instelling laten zien aan de hand van het voorbeeld van een Google-account.

1 - Ga naar de dubbele authenticatie-instellingen van uw account. Klik op “Kies een andere methode” en selecteer daar een elektronische sleutel:

2 - U kunt de dongle niet meteen op de computer aansluiten. Zorg ervoor dat u het bij de hand heeft en klik op “Volgende”:

3 - Steek de sleutel in de USB-connector en druk op de knop erop:

De sleutel wordt rood en de browser vraagt ​​toestemming om toegang te krijgen tot het apparaat:

4 - Uw sleutel wordt geregistreerd en u moet er een naam voor bedenken:

5 - Klaar! Voeg nu toe aanvullende manieren Log in op uw account - via de applicatie of sms-code. Dit is nodig als u uw token verliest. Maar ik ga dit niet doen.

En nu een kleine uitdaging voor de lezers. Hier zijn alle details van het account waarop ik mijn USB-sleutel heb geïnstalleerd:

Login: [e-mailadres beveiligd]

Wachtwoord: 123456abcd!123456

Als u vóór 15 augustus op dit account kunt inloggen en daar een bericht kunt achterlaten, dan zal ik u 5.000 roebel overmaken. Ga hackers!

De snelle groei van de marktsectoren van “3A”-systemen (authenticatie, autorisatie, veilig beheer) en sterke authenticatie-instrumenten heeft geleid tot de opkomst van veel verschillende soorten hardware- en software-identificatoren, evenals hun hybride wijzigingen. Een klant die vandaag de dag een multi-factor authenticatiesysteem wil implementeren, wordt geconfronteerd met dit probleem moeilijke keuze. Trends in het samenvoegen van fysieke en logische authenticatie, het integreren van single sign-on-oplossingen en identiteitsbeheersystemen maken de keuzevraag alleen maar groter. In dit artikel proberen we de klant te helpen de oplossingen die op de markt beschikbaar zijn te begrijpen en de juiste keuze te maken.

Een van de gevaarlijkste bedreigingen voor de IT-beveiliging van vandaag is ongeoorloofde toegang tot vertrouwelijke informatie. Dat blijkt uit een onderzoek van het Instituut computerbeveiliging In de VS en de FBI (zie CSI/FBI Computer Crime and Security Survey 2005) rapporteerde vorig jaar 55% van de bedrijven incidenten waarbij ongeoorloofde toegang tot gegevens betrokken was. Bovendien verloor elk bedrijf in 2005 gemiddeld 303.000 dollar als gevolg van ongeoorloofde toegang, en de verliezen waren zes keer zo groot als in 2004.

Bedrijven reageerden onmiddellijk op het toegenomen gevaar van bedreigingen. Volgens IDC (zie “Rusland Security Software 2005-2009 Forecast and 2004 Vendor Shares”) hebben Russische bedrijven niet alleen hun investeringen in IT-beveiliging met 32,7% verhoogd, maar hun inspanningen ook grotendeels gericht op de implementatie van “3A”-systemen (authenticatie, autorisatie, beveiligde administratie).

Het marktsegment voor 3A-systemen groeide het afgelopen jaar met 83%. Deze dynamiek is heel begrijpelijk: de middelen voor sterke authenticatie, die ten grondslag liggen aan het hele ‘3A’-concept, maken het mogelijk om het bedrijf te beschermen tegen een hele reeks IT-veiligheidsbedreigingen – dit omvat ongeoorloofde toegang tot informatie en ongeoorloofde toegang tot bedrijfsnetwerk van de kant van werknemers, en fraude, en datalekken als gevolg van diefstal van mobiele apparaten of personeelsacties, enz., en het is bekend dat elk van deze bedreigingen elk jaar enorme schade aanricht (Fig. 1).

Rijst. 1. Verliezen uit verschillende soorten aanvallen, dollars

Sterke authenticatie is gebaseerd op een twee- of driefactorauthenticatieproces waarmee de gebruiker toegang kan krijgen tot de gevraagde bronnen. In het eerste geval moet de medewerker bewijzen dat hij het wachtwoord of de pincode kent en over een bepaalde persoonlijke identificatie (elektronische sleutel of smartcard) beschikt, en in het tweede geval moet de gebruiker een ander soort identificatiegegevens verstrekken, zoals biometrische gegevens.

Het gebruik van multifactor-authenticatie verkleint de rol van wachtwoorden aanzienlijk, en dit is een ander voordeel van sterke hardware-authenticatie, aangezien gebruikers volgens sommige schattingen tegenwoordig ongeveer 15 wachtwoorden moeten onthouden. verschillende wachtwoorden om toegang te krijgen tot accounts. Vanwege de overdaad aan informatie schrijven werknemers deze op papier om te voorkomen dat wachtwoorden worden vergeten, waardoor het beveiligingsniveau als gevolg van wachtwoordcompromis wordt verminderd. Het vergeten van wachtwoorden veroorzaakt ernstige financiële schade voor bedrijven. Zo bleek uit een onderzoek van de Burton Group (zie ‘Enterprise Single Sign-On: Access Gateway to Applications’) dat elke oproep naar een computerhulplijn een bedrijf $25-50 kost, en dat 35 tot 50% van alle oproepen afkomstig is van vergeetachtige mensen. medewerkers. Het gebruik van verbeterde of tweefactorauthenticatie maakt het dus niet alleen mogelijk om de IT-veiligheidsrisico’s te verminderen, maar ook om de interne processen van het bedrijf te optimaliseren dankzij de vermindering van directe financiële verliezen.

Zoals reeds vermeld heeft de hoge efficiëntie van multi-factor authenticatietools geleid tot de snelle groei van de markt voor “3A”-systemen. De overvloed aan gepresenteerde oplossingen vereist dat klanten over de juiste competentie beschikken, omdat elk voorgesteld type persoonlijke identificatie wordt gekenmerkt door zijn eigen voor- en nadelen, en bijgevolg gebruiksscenario's. Bovendien is er de snelle ontwikkeling dit segment markt in de komende jaren zal ertoe leiden dat een aantal van de hardware-identifiers die vandaag de dag worden gepromoot, achterwege zullen blijven. Door vandaag de voorkeur te geven aan een of andere oplossing, moet de klant niet alleen rekening houden met de huidige behoeften van de organisatie, maar ook met toekomstige behoeften.

Soorten persoonlijke authenticatiehulpmiddelen

Momenteel zijn er veel persoonlijke identificatiemiddelen op de markt, die in beide verschillen technische mogelijkheden zowel functionaliteit als vormfactor. Laten we ze eens nader bekijken.

USB-tokens

Het tweefactorauthenticatieproces met behulp van USB-tokens vindt plaats in twee fasen: de gebruiker sluit dit kleine apparaat aan op de USB-poort van de computer en voert een pincode in. Het voordeel van dit soort authenticatiemiddelen is de hoge mobiliteit, aangezien op elk apparaat USB-poorten beschikbaar zijn werkstation en op elke laptop.

Tegelijkertijd is het gebruik van een aparte fysiek apparaat, dat een veilige opslag van zeer gevoelige gegevens (encryptiesleutels, digitale certificaten, enz.) kan bieden, waarmee u veilig lokaal of op afstand inloggen kunt implementeren computernetwerk, het versleutelen van bestanden op laptops, werkstations en servers, het beheren van gebruikersrechten en het uitvoeren van veilige transacties.

Slimme kaarten

Deze apparaten, die er zo uitzien creditcard, bevatten een beveiligde microprocessor waarmee u cryptografische bewerkingen kunt uitvoeren. Succesvolle authenticatie vereist het plaatsen van een smartcard in de lezer en het invoeren van een wachtwoord. In tegenstelling tot USB-tokens bieden smartcards een aanzienlijk grotere beveiliging voor het opslaan van sleutels en gebruikersprofielen. Smartcards zijn optimaal voor gebruik in de infrastructuur openbare sleutels(PKI), omdat ze sleutelmateriaal en gebruikerscertificaten op het apparaat zelf opslaan en de geheime sleutel van de gebruiker niet in vijandige situaties terechtkomt externe omgeving. Smartcards hebben echter een ernstig nadeel: lage mobiliteit, omdat er een lezer voor nodig is om ermee te kunnen werken.

USB-tokens met ingebouwde chip

Van smartcards dit type persoonlijke identificatie verschilt alleen qua vormfactor. USB-tokens met een ingebouwde chip hebben alle voordelen van smartcards die verband houden met de veilige opslag van vertrouwelijke informatie en de implementatie van cryptografische bewerkingen direct in het token, maar hebben niet het grootste nadeel, dat wil zeggen dat ze geen speciaal leesapparaat. De multifunctionaliteit van tokens zorgt ervoor volop mogelijkheden hun toepassingen – van sterke authenticatie en de organisatie van veilige lokale of inloggen op afstand in het computernetwerk voordat juridisch belangrijke systemen op basis van tokens worden gebouwd elektronisch documentbeheer, het organiseren van veilige datatransmissiekanalen, het beheren van gebruikersrechten, het uitvoeren van veilige transacties, enz.

OTP-tokens

OTP-technologie (One-Time Password) omvat het gebruik van eenmalige wachtwoorden die worden gegenereerd met behulp van een token. Voor dit doel wordt de geheime sleutel van de gebruiker gebruikt, die zich zowel in het OTP-token als op de authenticatieserver bevindt. Om toegang te krijgen tot de benodigde middelen, moet de medewerker een wachtwoord invoeren dat is aangemaakt met behulp van een OTP-token. Dit wachtwoord wordt vergeleken met de waarde die door de authenticatieserver wordt gegenereerd, waarna wordt besloten toegang te verlenen. Het voordeel van deze aanpak is dat de gebruiker het token niet aan de computer hoeft te koppelen (in tegenstelling tot de bovenstaande soorten identificatiegegevens). Het aantal IT-beveiligingstoepassingen dat de mogelijkheid ondersteunt om met OTP-tokens te werken is nu echter veel kleiner dan dat voor USB-tokens (zowel chipless als chipless) en smartcards. Het nadeel van OTP-tokens is beperkte tijd levensduur van deze apparaten (drie tot vier jaar), aangezien autonomie het gebruik van een batterij vereist.

Hybride tokens

Deze apparaten, die de functionaliteit van twee soorten apparaten combineren: USB-tokens met ingebouwde chip en OTP-tokens, zijn relatief recent op de markt verschenen. Met hun hulp kunt u het proces van zowel tweefactorauthenticatie met een verbinding met een USB-poort als contactloze authenticatie organiseren in gevallen waarin de USB-poort niet beschikbaar is (bijvoorbeeld in een internetcafé). Houd er rekening mee dat hybride smartcards, die de functionaliteit van USB- en OTP-tokens hebben en ook een ingebouwde chip hebben, overeenkomen met het hoogste niveau van flexibiliteit en veiligheid.

Softwaretokens

IN in dit geval speelt de rol van een token software, dat eenmalige wachtwoorden genereert die samen met reguliere wachtwoorden worden gebruikt voor multi-factor authenticatie. Op basis van de geheime sleutel genereert het tokenprogramma een eenmalig wachtwoord, dat op het computerscherm wordt weergegeven mobiel apparaat en moet worden gebruikt voor authenticatie. Maar aangezien het token een programma is dat op het werkstation is opgenomen, mobiele computer of mobiele telefoon, dan niets veilige opslag belangrijke informatie er is geen vraag. Dus, deze methode veiliger dan gewone wachtwoorden, maar veel zwakker dan het gebruik van hardware-ID's.

Kenmerken van verschillende soorten persoonlijke identificatiegegevens

Russische multifactorauthenticatiemarkt

De Russische markt voor sterke authenticatie wordt gekenmerkt door een zeer lage prevalentie van OTP-tokens, die meer dan de helft van het mondiale segment van persoonlijke identificatiemiddelen beslaan. Tegenwoordig gaan de leveringen van deze apparaten vooral naar Russische vertegenwoordigingen van grote westerse bedrijven, waarvan de hoofdkantoren en de volledige IT-infrastructuur aanvankelijk op OTP-tokens waren gebouwd.

De belangrijkste factor die de ontwikkeling van de Russische OTP-tokenmarkt belemmert is hoge kosten eigendom (Total Cost of Ownership, TCO) en short levenscyclus. De ingebouwde batterij gaat doorgaans drie tot vier jaar mee, waarna de klant gedwongen wordt het apparaat te vervangen, waarbij hij ongeveer 70% van de initiële kosten betaalt. Laten we als voorbeeld het OTP-token RSA SecurID nemen, populair in het Westen. De kosten van de oplossing voor 500 gebruikers, inclusief hoofdserver en de replicatorserver, de software en de persoonlijke identificatiegegevens zelf kosten 76 duizend dollar (één SecurID-token kost 79 dollar). Bovendien zul je volgens dealers jaarlijks nog eens 6,6 duizend dollar moeten uitgeven aan ondersteuning. Over het algemeen kost de oplossing dus 82,6 duizend dollar, en de kosten van één werkstation uitgerust met een OTP-token zullen minstens 165 zijn. POP.

Laten we ter vergelijking een andere elektronische sleutel nemen met een eenmalige wachtwoordgenerator: eToken NG-OTP van Aladdin. In dit geval is het berekeningsschema voor één werkplek iets anders: het is niet nodig om authenticatieservers aan te schaffen, het is voldoende om een ​​server te hebben Windows-versie, waar de overgrote meerderheid nu mee is uitgerust lokale netwerken ondernemingen. Prijs universeel systeem het beheer van alle authenticatiemiddelen (inclusief verschillende typen) op bedrijfsschaal (eToken TMS) zal ongeveer 4.000 dollar (serverlicentie) bedragen, en de totale prijs voor 500 tokens (waarbij de prijs van één apparaat 67 dollar is) is 33,5 duizend $ Laten we hier een gebruikerslicentie toevoegen voor elk token: $24 - maximaal 500 gebruikers en $19 - meer dan 500. Dus de kosten van één werkstation met een geïntegreerd sterk authenticatiesysteem eenmalige wachtwoorden zal 99 dollar zijn. en gebaseerd op 501 gebruikers - $94.

Maar ondanks dit verschil zijn de kosten voor het beschermen van één werkplek met een ‘standaard’ token, dat wil zeggen zonder OTP, aanzienlijk lager. Voor dezelfde eToken PRO, het populairste USB-token met een ingebouwde chip in de Aladdin-lijn, bedragen de kosten van één werkstation, berekend met dezelfde formule, bijvoorbeeld slechts $ 47.

De Russische markt voor persoonlijke identificatiegegevens verschilt dus aanzienlijk van de mondiale markt en bestaat voornamelijk uit USB-tokens met een ingebouwde chip - ze vertegenwoordigen ongeveer 80-85% van de markt. Het zijn echter USB-tokens met een ingebouwde chip die tegenwoordig het populairst zijn effectieve middelen sterke authenticatie. Analisten van toonaangevende adviesbureaus, zoals IDC en Gartner, zijn dan ook van mening dat dit in 2008 het geval zal zijn meest De gehele markt voor persoonlijke identificatie zal bestaan ​​uit USB-tokens met een ingebouwde chip. Bovendien noemde Gartner USB-tokens met een ingebouwde chip als de beste investering in beveiliging beveiligde toegang naar gegevens uit 2005.

Volgens interne gegevens is Aladdin-Rusland de leider binnenlandse markt USB-tokens met ingebouwde chip wel Russisch bedrijf Aladdin (70%), gevolgd door Rainbow Technologies (25%) en Aktiv (5%) met een ernstige vertraging (Fig. 2).

Rijst. 2. Structuur van de Russische markt voor USB-tokens met ingebouwde chip (

Elektronische sleutels zijn lang geleden verschenen, maar zijn er nog niet in geslaagd zich te verplaatsen standaardprocedure identificatie door login en wachtwoord. Dit is meer dan vreemd, aangezien moderne USB-tokens dit bieden hoge graad gegevensbescherming, zijn vrijwel onkwetsbaar voor aanvallen van buitenaf en in voldoende hoeveelheid gepresenteerd op de Russische markt. Het belangrijkste is om geen fout te maken bij de keuze.

Het wachtwoord is "verouderd"

Identificatie met behulp van een “login” en “wachtwoord” is gebruikelijk. Dit schema voor het “herkennen” van de gebruiker door het systeem is echter enigszins achterhaald vanuit het oogpunt van veiligheid en gebruiksgemak. Vaak vermindert het vergroten van de nadruk op informatiebeveiliging het comfort van toegangscontrole voor de gebruiker. Wachtwoorden die zijn gemaakt in overeenstemming met de vereisten voor complexiteit (met gebruik van letters met verschillende hoofdletters, cijfers, leestekens en dienst karakters, lengte minimaal 8 tekens) zijn moeilijk te onthouden eindgebruiker. Dus, voornaamste probleem wordt de menselijke factor.

Tot de problemen van wachtwoordverificatie behoren ook het gemak van selectie met behulp van een woordenboek (als het wachtwoord een woord of zin uit een bepaalde taal is, zelfs als letters zijn vervangen door speciale tekens, bijvoorbeeld P@ssw0rd) en brute kracht (vooral korte wachtwoorden.) Ook kan het wachtwoord worden onderschept of geobserveerd wanneer het wordt ingevoerd, of worden verkregen door gebruik van geweld tegen de eigenaar ervan. Problemen met gebruikersauthenticatie in informatiesysteem zijn al lang geleden geïdentificeerd en al voorgesteld verschillende oplossingen. Huidige trend— gebruik van tweefactorauthenticatie op basis van USB-tokens. In Rusland neemt het aandeel van dergelijke apparaten een dominante positie in ten opzichte van smartcards en autonome tokens als gevolg van de latere vorming van de markt voor hardware-authenticatieapparatuur en het krachtige marketingbeleid van productiebedrijven. De belangrijkste spelers op Russische markt USB-sleutels (tokens) worden geleverd door Aladdin, Rainbow Technologies, Aktiv samen met Ankad, RSA Security, evenals Feitian Technologies met zijn ePass-product.

Hoeveel kost moderne bescherming?

Slimme USB-sleutels zijn ontworpen om te werken in toepassingen die hoge eisen stellen op het gebied van gegevensbescherming. USB-sleutels kunnen de opvolgers van contact-smartcards worden genoemd, ze repliceren praktisch hun ontwerp, maar vereisen geen speciale lezers, wat de implementatie ervan vereenvoudigt en de kosten verlaagt. Het economische voordeel bij het gebruik van USB-sleutels in vergelijking met smartcards wordt dus behaald wanneer één gebruiker op de computer werkt, maar als het nodig is dat meerdere mensen aan één machine werken, is het winstgevender om één lezer en meerdere smartcards aan te schaffen. kaarten, dus hoe de kosten van de kaart zelf lager zijn dan de kosten van het token. Merk op dat USB-sleutels die niet zijn gemaakt volgens de "smartcard + kaartlezer" -architectuur, bijvoorbeeld ruToken, "Shipka", zijn gemaakt op een seriële microcontroller en programmatisch de functionaliteit van smartcards emuleren. Dit vermindert hun veiligheid aanzienlijk. In het bijzonder gebruiken ze een externe geheugenchip met alle gevolgen van dien (smartcardtokens hebben geheugen in de smartcardchip en zijn erg moeilijk aan te vallen).

Gemiddelde kosten voor het implementeren van toegangscontrolesystemen

Bron: CNews Analytics, 2006

Laten we dit demonstreren aan de hand van het voorbeeld van Aladdin-producten. Eén elektronische USB-sleutel eToken PRO/32K kost $49. De eToken PRO/SC-smartcard kost $23, de smartcardlezer voor eToken ASEDrive IIIe USB V2 kost $40.

Subtiliteiten bij het kiezen van USB-tokens

Een USB-token is een symbiose van een lezer en een smartcard, alleen de kaart is erin gesoldeerd en kan niet worden gewijzigd. Het installatieproces is vergelijkbaar met het installeren van een lezer, en het aansluiten/verwijderen ervan is vergelijkbaar met het aansluiten/verwijderen van een kaart in de lezer. Als u een USB-token in toepassingen wilt gaan gebruiken, moet u deze formatteren speciaal hulpprogramma. Niet alle applicaties die met USB-tokens werken, zullen dit precies ondersteunen specifiek model token, dit moet worden gecontroleerd. Vaak wordt de keuze van het token er niet door bepaald kwaliteitskenmerken en de mogelijkheid om ermee te werken bepaalde toepassingen of besturingssystemen. Bij aankoop moet u zich niet laten leiden door de geheugengrootte van het token, klein formaat Smartcardgeheugen is hier een voordeel omdat het voorkomt dat werknemers andere gevoelige informatie van hun werkcomputer vastleggen. Wanneer u een kit aanschaft (het programma plus een USB-token) moet u ervoor zorgen dat u de stuurprogramma's ontvangt USB-token en ontdek hoe het token wordt geformatteerd: door het programma zelf of door een afzonderlijk hulpprogramma.

Het tokenbestandssysteem wordt gedeeld door meerdere applicaties en services. De gebruiker hoeft niet veel wachtwoorden te kennen; het token onthoudt ze. U hoeft alleen een korte pincode te onthouden die de gebruiker identificeert als de eigenaar van alle wachtwoorden die in het sleutelgeheugen zijn opgeslagen. Na verschillende mislukte pinpogingen "vergrendelt" de processor het token totdat de beveiligingsbeheerder ingrijpt, omdat wordt aangenomen dat de sleutel is gestolen of verloren is gegaan.

Om sterke authenticatie te garanderen, is het noodzakelijk om de betrouwbaarheid en betrouwbaarheid van de opdrachtgever (het object van authenticatie – de afzender of ontvanger) en dus betrouwbare cryptografische algoritmen en doordachte authenticatieschema's. Sterke authenticatie in in deze context betekent dat de informatie die de gebruiker direct authenticeert niet verder gaat dan het token, maar alleen deelneemt aan cryptografische berekeningen, waarvan het resultaat een aantal reeksen nullen en enen zal zijn, waarbij een andere opdrachtgever de afzender absoluut betrouwbaar, nauwkeurig en betrouwbaar zal bepalen . Daarom is het belangrijk om modellen met een ingebouwde sleutelgenerator te kopen, zodat belangrijke informatie kwam niet van het token naar de computer. Bovendien moeten alle belangrijke cryptografische berekeningen voor certificaatverificatie in hardware worden geïmplementeerd, waardoor ook de mogelijkheid van compromissen op computerapplicatieniveau wordt geëlimineerd.

Belangrijkste kenmerken van producten die op de markt worden aangeboden

De mensheid bedenkt voortdurend nieuwe manieren om zichzelf tegen indringers te beschermen. Eén daarvan is een USB-token. Wat is het mechanisme van de werking ervan? Wat is hij? Wat is een token eigenlijk? Hier is een korte lijst met kwesties die we zullen overwegen.

Wat is een token?

Zo noemen ze het hardware-apparaat, die een sleutelpaar kan vormen en een elektronische kan instellen digitale handtekening. Om er handelingen mee uit te kunnen voeren, moet u een pincode invoeren. Tegelijkertijd hoeft u niet verschillende add-ons of stuurprogramma's te installeren om met uw computer te communiceren. Het token wordt in dit geval door de computer gedefinieerd als een HID-apparaat. Het heeft ook vaak een kleine gegevensopslag als extra functionaliteit. Maar het belangrijkste doel is om te fungeren als sleutelopslag. Het zal voor een aanvaller erg moeilijk zijn om het wachtwoord te raden, omdat het na de derde mislukte poging om het in te voeren, wordt geblokkeerd. Dat is wat een teken is.

Andere kenmerken

Naast de reeds besproken opties kan dit apparaat ook andere taken uitvoeren die eraan zijn toegewezen. Onder hen:

1. Gegevenscodering/decodering met behulp van een/symmetrisch algoritme.
2. Generatie en verificatie van digitale handtekening.
3. Hashing van gegevens.
4. Genereren van encryptiesleutels.

Om het beeld van een token compleet te maken, kan het worden voorgesteld als een “black box”. Tijdens cryptografische bewerkingen worden dus gegevens als invoer ontvangen, in het apparaat zelf omgezet (hiervoor wordt een sleutel gebruikt) en naar de uitvoer verzonden. Tokens hebben veel gemeen met microcomputers. Zo wordt informatie aan- en uitgevoerd via een USB-poort, beschikt het apparaat over een eigen RAM- en langetermijn- (en ook beschermd) geheugen, evenals een eigen processor.

Over wachtwoorden

Het zijn moderne klassiekers geworden. Het belangrijkste voordeel van wachtwoorden, waardoor ze zo vaak voorkomen, is hun gebruiksgemak. Maar onze vergeetachtigheid, de verzending via onbeveiligde kanalen, het typen op het toetsenbord, de voorspelbaarheid en vele andere aspecten brengen onze veiligheid in twijfel. Het probleem van encryptie is ook acuut. Laten we eens kijken naar een 256-bit cryptografische sleutel. Als je een generator gebruikt pseudowillekeurige getallen, dan heeft het resulterende wachtwoord goede statistische eigenschappen. Welke combinaties kiezen mensen om hun gegevens te beschermen? In veel gevallen zijn wachtwoorden woorden uit het woordenboek of iets dat belangrijk voor hen is (hun naam, geboortedatum, enz.).

Je hoeft alleen maar het nieuws te lezen over de nieuwste hack van een grote website of de database van een bedrijf en te zien welke combinaties mensen kiezen. Heel vaak staan ​​er cijfers op een rij, beginnend met één, of een combinatie van naam en geboortejaar. Dit is zeker erg slecht. Voor dergelijke gevallen wordt het gebruik van tokens aangeboden. Ze zullen immers gegevens kunnen beschermen hoogste niveau met behulp van de aanbevolen parameters, wanneer het voor aanvallers moeilijk zal zijn om eenvoudigweg het wachtwoord te raden. De tokencode wordt immers samengesteld volgens alle regels van cryptografische protocollen. Denk bijvoorbeeld aan authenticatie. Vanwege het feit dat het ‘any one of a Thousand’-principe zal worden geïmplementeerd, zelfs als de aanvaller verkeer onderschept of de database van de server verdwijnt, is de kans op succes van de crimineel zo onwaarschijnlijk dat deze onbestaande kan worden genoemd. Bovendien kunt u het wachtwoord vergeten, maar de sleutel niet. Het wordt immers op het token opgeslagen.

Gegevensversleuteling

We hebben gekeken naar wat een token is, laten we nu eens kijken hoe dit beveiligingssysteem werkt. De gegevens zelf worden gecodeerd met behulp van een cryptografische sleutel. Het is op zijn beurt beveiligd met een wachtwoord. Dit laatste voldoet niet altijd aan de veiligheidseisen en kan net zo goed vergeten worden. In dit geval zijn er twee opties:

1. De sleutel zit op de token, maar verlaat het apparaat niet. Deze optie is geschikt als er een kleine hoeveelheid informatie is. In dit geval hebben we te maken met een lage decoderingssnelheid en het feit dat het voor een aanvaller vrijwel onmogelijk is om deze te extraheren.
2. De sleutel bevindt zich op het apparaat en wanneer de gegevens zijn gecodeerd, worden deze naar het apparaat verzonden RAM. Deze optie wordt gebruikt bij het werken met grote hoeveelheden gegevens. In dit geval is het mogelijk om de sleutel te bemachtigen. Maar dit is geen gemakkelijke taak: hetzelfde wachtwoord is gemakkelijker te stelen.

Als u een token wilt ontvangen, moet u begrijpen dat u ervoor moet betalen. Hoewel deze apparaten kunnen presteren een hele serie verschillende cryptografische bewerkingen, die voor de meeste mensen vrij moeilijk te begrijpen zijn, zal het gebruik van dergelijke apparaten geen problemen veroorzaken, omdat het proces intuïtief is. De gebruiker hoeft geen profiel te hebben bijzondere kennis, evenals inzicht in wat er in het token gebeurt.

Conclusie

Dus we hebben gekeken naar wat een token is. Theoretisch gezien distributie dit besluit toekomstige beveiliging zal u helpen gevallen te voorkomen waarin waardevolle gegevens of wachtwoorden worden gestolen. Uiteindelijk zal dit resulteren in een verhoging van de veiligheid.