Oglas
Tokeni za enkratno geslo (OTP) običajno veljajo za vrhunsko uporabno varnost za prijavo potrošnikov. So ključni del uporabe a Dvofaktorska overitev sistem, ki drastično poveča varnost prijave iz tipičnega enofaktorskega sistema uporabniško ime / geslo.
Varnostna shema uporabniškega imena / gesla se zaradi številnih razlogov šteje za zelo negotovo, vključno z enostavnim vohanjem paketov ali pritiskom tipk, napadi lažnega predstavljanja in drugimi težavami socialnega inženiringa. Dve faktorski shemi preverjanja pristnosti dodata drugo plast varnosti, tako da uporabnik pridobi drugo geslo iz vira zunaj pasu, kot je naprava za ustvarjanje gesla (na primer žeton OTP) ali SMS besedilo.
Ker se to geslo nenehno spreminja v časovno določenih intervalih, je potencialnemu hekerju skoraj nemogoče ukrasti vaše uporabniško ime in geslo in se prijaviti, ne da bi imel to žeton.
Ti žetoni so ponavadi plačljivi, saj gre za fizično napravo, a z zadnjim povečanjem aplikacij Na voljo za mobilne naprave, mnogi ponudniki OTP zdaj ponujajo brezplačne aplikacije, ki se namesto fizičnega napravo.
Spodaj je nekaj bolj priljubljenih generatorjev gesel, ki sem jih naletel in vzorčne posnetke zaslonov v akciji:
VeriSign Identity Protection (VIP) Dostop za mobilne naprave
Eden največjih ponudnikov fizičnih žetonov za enkratno geslo je Verisign. Njihovi žetoni za strojno opremo so končnemu uporabniku poceni in so uporabni na številnih priljubljenih spletnih mestih, vključno z eBay, SalesForce, Box.net, Paypal in še več. Ključ z nizkimi stroški (5 USD) lahko naročite pri Paypalu ali, kot sem nedavno ugotovil, prenesite brezplačno aplikacijo za mobilne naprave.
Verisign ponuja programsko opremo za najrazličnejše mobilne naprave, vključno z iPhone, Android, Windows Mobile, Blackberry in še več. Preprosto prenesite programsko opremo in zaženite program za ustvarjanje gesel - ob prvem zagonu se ustvari edinstven podpis in registrira na strežnikih VeriSign. Vaša naprava ima edinstven ID, ki ga nato registrirate s svojo prijavo na zunanjem spletnem mestu.
Po tem, ko odprete program, vam bo prikazal trenutno geslo, ki ga boste uporabili med dvofaktorno overitvijo. Preprosto.
Drug velik igralec na področju Dvofaktorske overitve je RSA. RSA je bil prvotno pionir na področju varnosti patentiranje metoda za šifriranje podatkov komunikacijskih kanalov že leta 1983 in sprostitev odprtega vira leta 2000.
Tako kot aplikacija VeriSign je tudi RSA brezplačno izdala svojo aplikacijo SecureID za iPhone, Blackberry, Windows Mobile in nekatere druge platforme. Žal na ta datum niso objavili aplikacije na platformi Android. Prav tako imate na voljo rešitev RSA za uporabo mobilnega generatorja OTP, kar bi prišlo z vašega delovnega mesta, banke ali katere koli druge prijave, ki jo boste morda morali zavarovati.
Rešitve RSA so v široki uporabi po vsem svetu.
FireID je zagon v dvofaktornem prostoru za preverjanje pristnosti. Čeprav so novi na tem področju, imajo res lepo aplikacijo za iPhone. Na njihovem spletnem mestu je navedeno, da podpirajo tudi naprave Blackberry, Android, Windows Mobile in Symbian, vendar nisem mogel najti nobenih informacij o teh izdelkih in nisem prepričan, če so bili sproščeni še.
Vsekakor so družba, na katero boste pozorni.
ArcotOTP [Ni več na voljo]
ArcotOTP je še en enkratni generator gesla. Čeprav je Arcot manj znan od drugih, je Arcot na tem področju podjetje, ki prihaja in prihaja, in časnega Brucea Schneierja šteje za svetovalca. ArcotOTP je lastniška tehnologija, pri kateri boste potrebovali programsko opremo, ki je vezana na rešitev ArcotOTP.
SafeNet ponuja nabor različnih varnostnih in avtentifikacijskih rešitev, poleg tega pa imajo tudi lepo OTP aplikacije za več platform, vključno z iPhone, Blackberry, Windows Mobile in SMS. Na tem seznamu manjka Android.
Čeprav ni izčrpen seznam brezplačnih mobilnih OTP generatorjev, vam zgornje vseeno daje dobro predstavo o nekaterih glavni akterji na tem področju in bolj priljubljene rešitve, ki ponujajo mobilne odjemalce in ne na strojni opremi žeton. Tam je veliko ponudnikov OTP, vsak ima svojo platformo za varno prijavo.
Verjetno je VeriSign tisti, s katerim boste najbolj seznanjeni in ima največ sprejemanja e-trgovine, saj jih uporabljajo Paypal / eBay, Salesforce in druge priljubljene spletne aplikacije. Katero brezplačno aplikacijo bi uporabljali, najverjetneje narekujejo spletna mesta, na katera se morate prijaviti, in katero dvofaktorsko shemo uporabljajo.
Ne glede na vaš najprimernejši način za izvajanje dvofaktorne overitve, te brezplačne aplikacije kažejo na nekatere ponudnike, ki so bili že napredujoč način razmišljanja o "konvergenci" mobilne naprave, kar vam omogoča, da odpustite ločen žeton in uporabite eno napravo za povečanje prijave. varnost.
Sporočite nam, kako enostavno boste našli te generatorje gesel ali katere druge varnostne sheme uporabljate za zaščito gesel.
[Kot postcript je želel samo opozoriti, da ima dvofaktorska avtentikacija luknjo v njej - napad človeka v sredini je še vedno zmožen premagati to shemo overjanja. V bistvu napadalec sedi med vami (prijava) in strežnikom ter posreduje vaše podatke legitimnemu strežniku, vključno z enkratnim geslom. To je dokaj nejasno vprašanje varnosti za splošnega potrošnika, zato dodajanje dveh faktorskih overitev v vaše prijavne procese omogoča veliko večjo varnost kot običajna enofaktorska shema. ]
Kreditna slika: mikebaird.
Dave Drager dela v podjetju XDA Developers v predmestju Philadelphije, PA.