Tato webová stránka používá soubory cookie, abychom vám mohli poskytovat co nejlepší uživatelský zážitek. Informace o cookies jsou uloženy ve vašem prohlížeči a plní funkce, jako je rozpoznání, když se vrátíte na náš web, a pomoc našemu týmu pochopit, které části webu jsou pro vás nejzajímavější a nejužitečnější.
Novinky
Více než 30 IDM realizací v České republice i zahraničí
Alternativy HW tokenů
Stručně o tokenech
Autentizační tokeny se používají v procesu ověřování přístupu na zabezpečený server. Typicky tak doplňují něco, co uživatel zná (tedy jméno a heslo) o něco, co uživatel vlastní. Použití je jednoduché:
- Token se spáruje s autentizačním serverem, kde je přiřazen uživateli
- Token generuje unikátní autentizační kódy, kterým server rozumí
- Podle toho server pozná, který uživatel se přihlásil
Klasickým představitelem je hardwarový (HW) token. Jedná se o jednoúčelový hardware, který má uživatel v držení, a buď z něj data přečte, nebo jej zapojí do čtečky.
- Příklady: RSA SecurID, Yubikey Standard, Vasco DIGIPASS, Entrust USB Token.
Historicky mladší softwarové (SW) tokeny vyžadují existenci nějakého nosného zařízení. Typicky se jedná o chytrý telefon (smart phone), tablet, počítač, do budoucnosti jistě i chytré hodinky (smart watch).
- Příklady řešení: Google Authenticator, Authy, Amazon AWS MFA, Authenticator pro Windows Phone
Tím jsme si osvěžili co a k čemu tokeny jsou a pojďme se podívat, jaké jsou mezi nimi rozdíly.
Použití a náklady
Hlavní rozdíl mezi zmíněnými druhy tokenů je v jejich fyzické realizaci.
- Hardwarový token je, dle svého názvu, svázán s vlastním, unikátním kusem hardwaru. Ten je v některých případech třeba v čase obměňovat – třeba proto, že obsahuje jednorázovou baterii.
- Na rozdíl od toho SW token představuje program, který je vykonáván na zařízení sdíleném s dalším softwarem. Takové zařízení si uživatel typicky nekupuje kvůli tokenu, ale již jej provozuje a program pro SW token na něj pouze doinstaluje.
Další rozdíl, který je zdánlivě drobný, ale jak si dál ukážeme podstatný, je v identifikaci tokenů.
- U HW verze se jedná o sériové číslo samotného zařízení.
- Toto je u softwarových zařízení nahrazeno identifikátorem, který je uložen přímo v autentizačním programu.
Mezisoučet 1: SW tokeny z tohoto porovnání vychází jako nejen levnější, ale i praktičtější řešení – žádné extra náklady na hardware a jen jedno univerzální zařízení.
Rizika
Jak je to ale z pohledu rizik spojených s použitím?
Obě řešení mají stejný způsob autentizace, takže hrozby spojené s ním se projevují u obou způsobů řešení. Jedná se hlavně o man-in-the-middle útok, jehož účelem je vetřít se do komunikace uživatel-server a získat tak citlivé údaje.
- Toho lze dosáhnout například tak, že útočník podstrčí uživateli stránku, vypadající jako cílový server, aby od něj vylákal přihlašovací údaje, včetně aktuálně platného autentizačního kódu.
- Jakmile údaje má, provede bezprostředně (na pozadí) operaci oproti skutečnému serveru, nad kterou již skutečný uživatel nemá kontrolu (například změnu hesla, vypnutí MFA, změnu e-mailu, …).
U SW tokenů je však tato hrozba zvýrazněna použitým zařízením. Chytré telefony, tablety a počítače jsou náchylné k infekci škodlivým softwarem (malware), který je schopen vstoupit do komunikace ještě na úrovni samotného zařízení. Podobným příkladem útoku může být odposlech autorizačních SMSek.
Dalším rizikem je ztráta nosného zařízení.
Zde je třeba si uvědomit, v jakém prostředí se který token typicky používá. Zatímco hardwarový je doménou podnikových řešení, softwarový si nachází uplatnění hlavně u online služeb. Rozdíl prostředí se pak projeví v procesu reautorizace, neboli přiřazení nového tokenu k existujícímu chráněnému uživatelskému účtu.
- V korporátním prostředí uživatel dojde za odpovědnou osobou, prokáže se například občankou, a dostane token nový (HW či SW).
- V online prostředí tato možnost chybí. Tam, kde se jedná o službu „kamenné společnosti“ – například banky – je možné provést postup, obdobný předchozímu bodu. Pokud se však jedná o čistě virtuální službu – například zahraniční sázkové společnosti, internetová kasina, bitcoinové burzy – bývá prokázání identity podstatně delší a složitější proces, který s sebou nese například potřebu skenování dokladů, e-mailové a telefonické komunikace. Někdy může být výzva takový proces vůbec iniciovat.
Mezisoučet 2: Z tohoto porovnání vychází naopak vítězně hardwarová varianta. SW tokeny kopírují rizika HW předchůdců a navíc k nim přidávají svá vlastní, nová rizika.
Závěr
Softwarové tokeny představují zajímavou alternativu k hardwarovým. Jejich nástup má vzrůstající tendenci. Pokud se podaří správně ošetřit jejich rizika, související především s malwarem, mohou pomoci masovému nasazení MFA a tím celkovému zabezpečení internetových aplikací. Dvoufaktorová autentizace (TFA) pomocí SW tokenů se například již stala de facto standardem v oblasti rodící se bitcoinové ekonomiky.
Autor: Petr Gašparík pracuje jako Solution Architect se zaměřením na řízení přístupu (Access Management) a identit.