Advertentie
One Time Password (OTP) -tokens worden doorgaans beschouwd als de ultieme bruikbare inlogbeveiliging voor consumenten. Ze zijn een belangrijk onderdeel van het gebruik van een Twee-factorenauthenticatie systeem dat de veiligheid van een login drastisch verhoogt vanuit een typisch gebruikersnaam / wachtwoord single factor systeem.
Het beveiligingsschema voor gebruikersnaam / wachtwoord wordt om een aantal redenen als zeer onveilig beschouwd, waaronder het gemak van pakket- of toetsaansnuffelen, phishing-aanvallen en andere social engineering-problemen. Twee-factor authenticatieschema's voegen een extra beveiligingslaag toe door een gebruiker een andere te laten ophalen wachtwoord van een out-of-band bron zoals een wachtwoordgenererend apparaat (zoals een OTP-token) of sms tekst.
Aangezien dit wachtwoord voortdurend met tussenpozen verandert, is het voor een potentiële hacker bijna onmogelijk om uw gebruikersnaam en wachtwoord te stelen en in te loggen zonder dit token te hebben.
Deze tokens zijn meestal te betalen omdat ze een fysiek apparaat zijn, maar met de recente toename van apps beschikbaar voor mobiele apparaten bieden veel OTP-providers nu gratis apps aan in plaats van een fysieke apparaat.
Hieronder staan enkele van de meer populaire wachtwoordgeneratoren die ik ben tegengekomen en voorbeelden van screenshots van hen in actie:
VeriSign Identity Protection (VIP) toegang voor mobiel
Een van de grootste leveranciers van fysieke eenmalige wachtwoordtokens is Verisign. Hun hardwaretokens zijn goedkoop voor de eindgebruiker en kunnen worden gebruikt op een aantal populaire online sites, waaronder eBay, SalesForce, Box.net, Paypal en meer. U kunt een goedkope sleutel ($ 5) bestellen bij Paypal of, zoals ik onlangs heb ontdekt, een gratis app voor mobiele apparaten downloaden.
Verisign biedt software voor een breed scala aan mobiele apparaten, waaronder iPhone, Android, Windows Mobile, Blackberry en meer. Download gewoon de software en voer het wachtwoordgeneratorprogramma uit - bij de eerste run wordt een unieke handtekening gegenereerd en geregistreerd bij de servers van VeriSign. Uw apparaat heeft een unieke ID die u vervolgens registreert met uw login op een externe site.
Daarna, wanneer u het programma opent, wordt het huidige wachtwoord weergegeven dat u moet gebruiken tijdens tweefactorauthenticatie. Gemakkelijk.
Een andere grote speler op het gebied van twee-factorenauthenticatie is RSA. Oorspronkelijk was RSA een pionier op het gebied van beveiliging patenteren een methode om communicatiekanaalgegevens in 1983 te versleutelen en in 2000 als open source uit te brengen.
Net als de VeriSign-app heeft RSA zijn SecureID-app gratis uitgebracht voor iPhone, Blackberry, Windows Mobile en een paar andere platforms. Helaas hebben ze vanaf deze publicatiedatum geen app op het Android-platform uitgebracht. Je hebt ook veel een RSA-oplossing om de mobiele OTP-generator te gebruiken, deze zou afkomstig zijn van je werkplek, bank of een andere login die mogelijk moet worden beveiligd.
RSA-oplossingen worden over de hele wereld algemeen gebruikt.
FireID is een startup in de tweefactorauthenticatieruimte. Hoewel ze nieuw zijn in het veld, hebben ze een hele leuke iPhone-app. Op hun website staat dat ze ook Blackberry-, Android-, Windows Mobile- en Symbian-apparaten ondersteunen, maar ik kon geen informatie over deze producten vinden en ik weet niet zeker of ze zijn vrijgegeven nog.
Ze zijn absoluut een bedrijf om in de gaten te houden.
ArcotOTP [Niet meer beschikbaar]
ArcotOTP is een andere eenmalige wachtwoordgenerator. Hoewel Arcot minder bekend is dan de anderen, is het een ‘up and coming’ bedrijf op dit gebied, en telt de eerbiedwaardige Bruce Schneier als adviseur van het bedrijf. ArcotOTP is een gepatenteerde technologie waarbij u software nodig heeft die is gekoppeld aan een ArcotOTP-oplossing.
SafeNet biedt een reeks verschillende beveiligings- en authenticatieoplossingen en heeft ook een mooie reeks OTP-applicaties voor meerdere platforms, waaronder iPhone, Blackberry, Windows Mobile en SMS. Met name Android ontbreekt in deze lijst.
Hoewel het geen uitgebreide lijst van gratis mobiele OTP-generatoren is, geeft het bovenstaande u een goed idee van enkele van de grote spelers in het veld en de meer populaire oplossingen die wel een mobiele client bieden in plaats van op hardware gebaseerde token. Er zijn veel OTP-providers, elk met een eigen platform om logins te beveiligen.
VeriSign is waarschijnlijk degene die u het meest kent en heeft de meeste e-commerce-acceptatie, aangezien Paypal / eBay, Salesforce en andere populaire web-apps ze gebruiken. Welke gratis app u zou gebruiken, wordt waarschijnlijk bepaald door de websites waarop u moet inloggen en welk tweefactorsysteem ze gebruiken.
Wat uw favoriete methode ook is om tweeledige authenticatie te implementeren, deze gratis apps wijzen u op sommige providers die dat zijn geweest progressief op het gebied van de 'convergentie van het mobiele apparaat'-mentaliteit, waardoor u een apart token kunt afzien en één apparaat kunt gebruiken om uw login te vergroten veiligheid.
Laat ons weten hoe gemakkelijk u deze wachtwoordgeneratoren kunt vinden om te gebruiken of welke andere beveiligingsschema's u gebruikt om uw wachtwoorden te beveiligen.
[Als naschrift wilde ik er alleen maar op wijzen dat authenticatie met twee factoren een gapend gat bevat - een Man in the Middle-aanval kan dit authenticatieschema nog steeds verslaan. Kortom, een aanvaller zit tussen u in (inloggen) en de server en geeft uw informatie door aan de legitieme server, inclusief het eenmalige wachtwoord. Dit is een tamelijk obscuur beveiligingsprobleem voor de algemene consument, dus het toevoegen van tweefactorauthenticatie aan uw inlogprocessen biedt veel meer beveiliging dan een regulier eenfactorsysteem. ]
Afbeelding tegoed: mikebaird.
Dave Drager werkt bij XDA Developers in de buitenwijken van Philadelphia, PA.
