Reklama

Tokeny jednorazowego hasła (OTP) są zwykle uważane za najlepsze pod względem bezpieczeństwa logowania użytkownika. Są kluczową częścią korzystania z Uwierzytelnianie dwuskładnikowe system, który drastycznie zwiększa bezpieczeństwo logowania z typowego systemu jednoskładnikowego dla nazwy użytkownika / hasła.

Schemat bezpieczeństwa nazwy użytkownika / hasła jest uważany za bardzo niepewny z wielu powodów, w tym łatwości wykrywania pakietów lub naciśnięć klawiszy, ataków phishingowych i innych problemów socjotechnicznych. Dwa schematy uwierzytelniania czynnikowego dodają kolejną warstwę bezpieczeństwa, umożliwiając użytkownikowi pobranie innej hasło ze źródła spoza pasma, takiego jak urządzenie do generowania hasła (takie jak token OTP) lub SMS tekst.

Ponieważ hasło to ciągle się zmienia w określonych odstępach czasu - niedoszły haker nie może ukraść Twojej nazwy użytkownika i hasła oraz zalogować się bez tego tokena.


Te tokeny są zwykle płatne, ponieważ są fizycznym urządzeniem, ale z ostatnim wzrostem liczby aplikacji dostępne dla urządzeń mobilnych wielu dostawców OTP oferuje obecnie bezpłatne aplikacje, które zastępują fizyczne urządzenie.

instagram viewer

Poniżej znajdują się niektóre z bardziej popularnych generatorów haseł, na które natknąłem się i przykładowe zrzuty ekranu z nich w akcji:

Dostęp do mobilnej ochrony tożsamości VeriSign (VIP)

generatory haseł

Jednym z największych dostawców fizycznych tokenów jednorazowego hasła jest Verisign. Tokeny sprzętowe są tanie dla użytkownika końcowego i można je stosować w wielu popularnych witrynach internetowych, w tym w serwisie eBay, SalesForce, Box.net, Paypal i innych. Możesz zamówić tani klucz (5 USD) w Paypal lub, jak niedawno odkryłem, pobierz bezpłatną aplikację na urządzenia mobilne.

Verisign oferuje oprogramowanie dla szerokiej gamy urządzeń mobilnych, w tym iPhone, Android, Windows Mobile, Blackberry i innych. Wystarczy pobrać oprogramowanie i uruchomić program do generowania haseł - przy pierwszym uruchomieniu generowany jest unikalny podpis i rejestrowany na serwerach VeriSign. Twoje urządzenie ma unikalny identyfikator, który następnie rejestrujesz za pomocą swojego loginu na stronie zewnętrznej.

Po każdym uruchomieniu programu wyświetli się bieżące hasło, które będzie używane podczas uwierzytelniania dwuskładnikowego. Łatwo.

generatory haseł online

Innym dużym graczem w dziedzinie uwierzytelniania dwuskładnikowego jest RSA. Pierwotnie RSA był pionierem w dziedzinie bezpieczeństwa patentowanie metoda szyfrowania danych kanału komunikacyjnego w 1983 r. i uwolnienie go jako open source w 2000 r.

Podobnie jak aplikacja VeriSign, RSA wydała bezpłatną aplikację SecureID na iPhone'a, Blackberry, Windows Mobile i kilka innych platform. Niestety, nie wydali aplikacji na platformę Android od tej daty publikacji. Masz również wiele rozwiązań RSA do korzystania z mobilnego generatora OTP, który pochodziłby z twojego miejsca pracy, banku lub innego loginu, który może wymagać zabezpieczenia.

Rozwiązania RSA są szeroko stosowane na całym świecie.

generatory haseł online

FireID to uruchomienie w przestrzeni uwierzytelniania dwuskładnikowego. Choć są nowi w tej dziedzinie, mają naprawdę fajną aplikację na iPhone'a. Ich strona internetowa stwierdza, że ​​obsługują również urządzenia Blackberry, Android, Windows Mobile i Symbian, ale nie mogłem znaleźć żadnych informacji na temat tych produktów i nie jestem pewien, czy zostały wydane jeszcze.

To zdecydowanie firma, na którą można mieć oko.

ArcotOTP [No Longer Available]

generatory haseł online

ArcotOTP to kolejny generator haseł jednorazowych. Choć Arcot jest mniej znany od innych, jest „rozwijającą się” firmą w tej dziedzinie i uważa czcigodnego Bruce'a Schneiera za doradcę firmy. ArcotOTP to zastrzeżona technologia, w której będziesz potrzebować oprogramowania, które jest powiązane z rozwiązaniem ArcotOTP.

generatory haseł

SafeNet zapewnia zestaw różnych rozwiązań w zakresie bezpieczeństwa i uwierzytelniania, a także oferuje niezłą gamę aplikacji OTP dla wielu platform, w tym iPhone, Blackberry, Windows Mobile i SMS. Na tej liście brakuje Androida.

Chociaż nie jest to wyczerpująca lista bezpłatnych mobilnych generatorów OTP, powyższe daje dobry pomysł na niektóre z nich główni gracze w tej dziedzinie oraz bardziej popularne rozwiązania, które oferują klient mobilny, a nie sprzętowy znak. Istnieje wielu dostawców OTP, każdy z własną platformą do bezpiecznego logowania.

VeriSign jest prawdopodobnie tym, z którym będziesz się najlepiej zaznajomić i ma najwięcej adopcji e-commerce, ponieważ korzystają z nich Paypal / eBay, Salesforce i inne popularne aplikacje internetowe. Której bezpłatnej aplikacji użyjesz, jest prawdopodobnie podyktowane przez strony internetowe, na które musisz się zalogować, i którego systemu dwuskładnikowego używają.

Bez względu na preferowaną metodę implementacji uwierzytelniania dwuskładnikowego, te bezpłatne aplikacje wskazują na niektórych dostawców postępowe w myśleniu o „konwergencji urządzenia mobilnego”, co pozwala zrezygnować z osobnego tokena i użyć jednego urządzenia, aby zwiększyć swoje logowanie bezpieczeństwo.

Poinformuj nas, jak łatwo można znaleźć generatory haseł lub jakie inne schematy zabezpieczeń służą do zabezpieczania haseł.

[Jako postscriptum chciałem tylko zauważyć, że uwierzytelnianie dwuskładnikowe ma lukę - atak Man in the Middle wciąż jest w stanie pokonać ten schemat uwierzytelniania. Zasadniczo atakujący siedzi między tobą (loguje się) a serwerem, przekazując informacje do legalnego serwera, w tym hasło jednorazowe. Jest to dość niejasny problem bezpieczeństwa dla ogólnego konsumenta, więc dodanie uwierzytelniania dwuskładnikowego do procesów logowania zapewnia znacznie większe bezpieczeństwo niż zwykły schemat jednoskładnikowy. ]

Źródło zdjęcia: mikebaird.

Dave Drager pracuje w XDA Developers na przedmieściach Filadelfii w stanie Pensylwania.