Publikujeme

Nacházíte se zde: Úvodní stránka > Publikujeme > Blog > Alternativy HW tokenů

Alternativy HW tokenů

Alternativy HW tokenů 123

Hardwarové tokeny se používají ve vícefaktorové autentizaci (MFA). V posledních letech jim s nástupem chytrých telefonů začínají konkurovat ty softwarové. Dokáží překonat nevýhody svých předchůdců? Jedná se o jejich nástupce, nebo doplňky?

Sdílej na sociálních sítích:

Stručně o tokenech

Autentizační tokeny se používají v procesu ověřování přístupu na zabezpečený server. Typicky tak doplňují něco, co uživatel zná (tedy jméno a heslo) o něco, co uživatel vlastní. Použití je jednoduché:

  1. Token se spáruje s autentizačním serverem, kde je přiřazen uživateli
  2. Token generuje unikátní autentizační kódy, kterým server rozumí
  3. Podle toho server pozná, který uživatel se přihlásil

Klasickým představitelem je hardwarový (HW) token. Jedná se o jednoúčelový hardware, který má uživatel v držení, a buď z něj data přečte, nebo jej zapojí do čtečky.

Historicky mladší softwarové (SW) tokeny vyžadují existenci nějakého nosného zařízení. Typicky se jedná o chytrý telefon (smart phone), tablet, počítač, do budoucnosti jistě i chytré hodinky (smart watch).

Tím jsme si osvěžili co a k čemu tokeny jsou a pojďme se podívat, jaké jsou mezi nimi rozdíly.

HW a SW tokeny 

     HW tokeny - RSA SecurID, Yubikey Standard                         SW token - aplikace Authy

Použití a náklady

Hlavní rozdíl mezi zmíněnými druhy tokenů je v jejich fyzické realizaci.

  • Hardwarový token je, dle svého názvu, svázán s vlastním, unikátním kusem hardwaru. Ten je v některých případech třeba v čase obměňovat - třeba proto, že obsahuje jednorázovou baterii.
  • Na rozdíl od toho SW token představuje program, který je vykonáván na zařízení sdíleném s dalším softwarem. Takové zařízení si uživatel typicky nekupuje kvůli tokenu, ale již jej provozuje a program pro SW token na něj pouze doinstaluje.

Další rozdíl, který je zdánlivě drobný, ale jak si dál ukážeme podstatný, je v identifikaci tokenů.

  • U HW verze se jedná o sériové číslo samotného zařízení.
  • Toto je u softwarových zařízení nahrazeno identifikátorem, který je uložen přímo v autentizačním programu.

Mezisoučet 1: SW tokeny z tohoto porovnání vychází jako nejen levnější, ale i praktičtější řešení - žádné extra náklady na hardware a jen jedno univerzální zařízení.

Rizika

Jak je to ale z pohledu rizik spojených s použitím? 

Obě řešení mají stejný způsob autentizace, takže hrozby spojené s ním se projevují u obou způsobů řešení. Jedná se hlavně o man-in-the-middle útok, jehož účelem je vetřít se do komunikace uživatel-server a získat tak citlivé údaje.

  • Toho lze dosáhnout například tak, že útočník podstrčí uživateli stránku, vypadající jako cílový server, aby od něj vylákal přihlašovací údaje, včetně aktuálně platného autentizačního kódu.
  • Jakmile údaje má, provede bezprostředně (na pozadí) operaci oproti skutečnému serveru, nad kterou již skutečný uživatel nemá kontrolu (například změnu hesla, vypnutí MFA, změnu e-mailu, …).

U SW tokenů je však tato hrozba zvýrazněna použitým zařízením. Chytré telefony, tablety a počítače jsou náchylné k infekci škodlivým softwarem (malware), který je schopen vstoupit do komunikace ještě na úrovni samotného zařízení. Podobným příkladem útoku může být odposlech autorizačních SMSek.

Dalším rizikem je ztráta nosného zařízení.

Zde je třeba si uvědomit, v jakém prostředí se který token typicky používá. Zatímco hardwarový je doménou podnikových řešení, softwarový si nachází uplatnění hlavně u online služeb. Rozdíl prostředí se pak projeví v procesu reautorizace, neboli přiřazení nového tokenu k existujícímu chráněnému uživatelskému účtu.

  • V korporátním prostředí uživatel dojde za odpovědnou osobou, prokáže se například občankou, a dostane token nový (HW či SW).
  • V online prostředí tato možnost chybí. Tam, kde se jedná o službu "kamenné společnosti" - například banky - je možné provést postup, obdobný předchozímu bodu. Pokud se však jedná o čistě virtuální službu - například zahraniční sázkové společnosti, internetová kasina, bitcoinové burzy - bývá prokázání identity podstatně delší a složitější proces, který s sebou nese například potřebu skenování dokladů, e-mailové a telefonické komunikace. Někdy může být výzva takový proces vůbec iniciovat.

Mezisoučet 2: Z tohoto porovnání vychází naopak vítězně hardwarová varianta. SW tokeny kopírují rizika HW předchůdců a navíc k nim přidávají svá vlastní, nová rizika.

Závěr

Softwarové tokeny představují zajímavou alternativu k hardwarovým. Jejich nástup má vzrůstající tendenci. Pokud se podaří správně ošetřit jejich rizika, související především s malwarem, mohou pomoci masovému nasazení MFA a tím celkovému zabezpečení internetových aplikací. Dvoufaktorová autentizace (TFA) pomocí SW tokenů se například již stala de facto standardem v oblasti rodící se bitcoinové ekonomiky.

Autor: Petr Gašparík pracuje jako Solution Architect se zaměřením na řízení přístupu (Access Management) a identit.


Přejít na začátek stránky

Mapa stránek

© Copyright 1998-2014 AMI Praha a.s., powered by AMIGO CMS