co to jest token bezpieczeństwa?
Token bezpieczeństwa to fizyczne lub cyfrowe urządzenie, które zapewnia uwierzytelnianie dwuskładnikowe (2FA) dla użytkownika w celu udowodnienia jego tożsamości w procesie logowania. Jest zwykle używany jako forma identyfikacji dla dostępu fizycznego lub jako metoda dostępu do systemu komputerowego. Token może być elementem lub kartą, która wyświetla lub zawiera informacje zabezpieczające o użytkowniku i może być weryfikowana przez system.
tokeny bezpieczeństwa mogą być używane zamiast tradycyjnych haseł lub oprócz nich. Są one najczęściej używane do uzyskiwania dostępu do sieci komputerowych, ale mogą również zabezpieczać fizyczny dostęp do budynków i działać jako podpisy elektroniczne dokumentów.
jak działają tokeny bezpieczeństwa?
token bezpieczeństwa zapewnia uwierzytelnianie dostępu do systemu za pośrednictwem dowolnego urządzenia, które generuje hasło. Może to obejmować kartę inteligentną, Uniwersalny Klucz szeregowy, urządzenie mobilne lub kartę identyfikacyjną o częstotliwości radiowej. Urządzenie generuje nowe hasło za każdym razem, gdy jest używane, więc Token bezpieczeństwa może być użyty do zalogowania się do komputera lub wirtualnej sieci prywatnej, wpisując hasło wygenerowane przez token w monicie.
Technologia Security token opiera się na wykorzystaniu urządzenia, które generuje losową liczbę, szyfruje ją i wysyła do serwera z informacjami uwierzytelniającymi użytkownika. Następnie serwer odsyła zaszyfrowaną odpowiedź, która może być odszyfrowana tylko przez urządzenie. Urządzenie jest ponownie używane do każdego uwierzytelniania, więc serwer nie musi przechowywać żadnych informacji o nazwie użytkownika ani Hasle, z zamiarem uczynienia systemu mniej podatnym na hakowanie.
rodzaje tokenów zabezpieczeń
wiele typów tokenów zabezpieczeń jest używanych do zabezpieczania różnych zasobów i aplikacji. Należą do nich następujące:
- hasła jednorazowe (OTP). Forma cyfrowego tokena bezpieczeństwa, OTP są ważne tylko dla jednej sesji logowania, co oznacza, że są używane raz i nigdy więcej. Po pierwszym użyciu serwer uwierzytelniania jest powiadamiany o tym, że hasło jednorazowe nie powinno być ponownie używane. OTP są zazwyczaj generowane przy użyciu algorytmu kryptograficznego ze wspólnego tajnego klucza składającego się z dwóch unikalnych i losowych elementów danych. Jeden element to losowy identyfikator sesji, a drugi to klucz tajny.
- rozłączone tokeny. Jest to forma cyfrowego tokena bezpieczeństwa, który nie łączy się fizycznie ani logicznie z komputerem. Urządzenie może generować hasło jednorazowe lub inne poświadczenia. Aplikacja komputerowa, która wysyła wiadomość tekstową do telefonu komórkowego, którą użytkownik musi wprowadzić podczas logowania, używa rozłączonego tokena.
- połączone tokeny. Podłączony token to fizyczny obiekt, który łączy się bezpośrednio z komputerem lub czujnikiem. Urządzenie odczytuje podłączony token i udziela lub odmawia dostępu. YubiKey jest przykładem połączonego tokena.
- tokeny bezstykowe. Tokeny bezstykowe tworzą logiczne połączenie z komputerem bez konieczności fizycznego połączenia. Tokeny te łączą się z systemem bezprzewodowo i przyznają lub odmawiają dostępu za pośrednictwem tego połączenia. Na przykład, Bluetooth jest często używany jako metoda nawiązywania połączenia z tokenem zbliżeniowym.
- tokeny oprogramowania pojedynczego logowania (SSO). Tokeny oprogramowania SSO przechowują informacje cyfrowe, takie jak nazwa użytkownika lub hasło. Umożliwiają one osobom korzystającym z wielu systemów komputerowych i wielu usług sieciowych logowanie się do każdego systemu bez konieczności zapamiętywania wielu nazw użytkowników i haseł.
- Programowalne tokeny. Programowalny token bezpieczeństwa wielokrotnie generuje unikalny kod ważny przez określony czas, często 30 sekund, aby zapewnić użytkownikowi dostęp. Na przykład Amazon Web Services Security Token Service to aplikacja, która generuje kody 2FA wymagane dla administratorów technologii informatycznych, aby uzyskać dostęp do niektórych zasobów chmury AWS.
zalety tokenów bezpieczeństwa
chociaż prawdą jest, że hasła i identyfikatory użytkowników są nadal najczęściej stosowaną formą uwierzytelniania, tokeny bezpieczeństwa są bezpieczniejszą opcją ochrony sieci i systemów cyfrowych. Problem z hasłami i identyfikatorami użytkowników polega na tym, że nie zawsze są one bezpieczne. Podmioty zagrażające nadal udoskonalają metody i narzędzia do łamania haseł, czyniąc je podatnymi na zagrożenia. Dane hasła mogą być również dostępne lub skradzione w przypadku naruszenia danych. Ponadto hasła są często łatwe do odgadnięcia, zwykle dlatego, że opierają się na łatwo wykrywalnych danych osobowych.
Security tokens, z drugiej strony, używają fizycznego lub cyfrowego identyfikatora unikalnego dla użytkownika. Większość formularzy jest stosunkowo łatwa w użyciu i wygodna.
luki w zabezpieczeniach tokenów bezpieczeństwa
chociaż tokeny zabezpieczeń oferują wiele korzyści użytkownikom i organizacjom, mogą również wprowadzać wady. Główną wadą fizycznych tokenów bezpieczeństwa jest to, że podlegają one utracie i kradzieży. Na przykład Token bezpieczeństwa może zostać zgubiony podczas podróży lub skradziony przez nieupoważnioną osobę. Jeśli token bezpieczeństwa zostanie zgubiony lub skradziony, należy go dezaktywować i wymienić. W międzyczasie nieupoważniony użytkownik będący w posiadaniu tokena może mieć dostęp do poufnych informacji i systemów.