<Firstimage =»// static.makeuseof.com/wp-content/uploads/2010/08/otp.jpg»> 
Токены одноразового пароля (OTP), как правило, считаются наиболее полезными для обеспечения безопасности при входе в систему. Они являются ключевой частью использования системы двухфакторной аутентификации , которая значительно повышает безопасность входа в систему из типичной однофакторной системы имени пользователя и пароля.
Схема безопасности имени пользователя / пароля считается очень небезопасной по ряду причин, включая простоту перехвата пакетов или нажатия клавиш, фишинг-атаки и другие проблемы социальной инженерии. Двухфакторная схема аутентификации добавляет еще один уровень безопасности, позволяя пользователю получить другой пароль из внешнего источника, такого как устройство генерации пароля (например, токен OTP) или текст SMS.
Поскольку этот пароль постоянно меняется через определенные промежутки времени, потенциальный хакер почти не может украсть ваше имя пользователя и пароль и войти в систему, не имея этого токена.
Эти токены обычно являются платными, поскольку они являются физическим устройством, но в связи с недавним увеличением числа приложений, доступных для мобильных устройств, многие поставщики OTP теперь предлагают бесплатные приложения, которые заменяют физическое устройство.
Ниже приведены некоторые из наиболее популярных генераторов паролей, с которыми я сталкивался, и примеры их скриншотов в действии:
VeriSign Identity Protection (VIP) доступ для мобильных
Verisign — один из крупнейших поставщиков физических токенов одноразового пароля. Их аппаратные токены имеют низкую стоимость для конечного пользователя и могут использоваться на многих популярных онлайн-сайтах, включая eBay, SalesForce, Box.net, Paypal и другие. Вы можете заказать недорогой ключ ($ 5) в Paypal или, как я недавно обнаружил, загрузить бесплатное приложение для мобильных устройств.
Verisign предлагает программное обеспечение для самых разных мобильных устройств, включая iPhone, Android, Windows Mobile, Blackberry и другие. Просто загрузите программное обеспечение и запустите программу генератора паролей — при первом запуске генерируется уникальная подпись, которая регистрируется на серверах VeriSign. Ваше устройство имеет уникальный идентификатор, который вы затем регистрируете, используя свой логин на внешнем сайте.
После этого всякий раз, когда вы открываете программу, она будет показывать вам текущий пароль для использования во время двухфакторной аутентификации. Легко.
RSA SecureID
Еще один крупный игрок в области двухфакторной аутентификации — RSA. RSA фактически является пионером в области безопасности, первоначально запатентовав метод шифрования данных канала связи еще в 1983 году и выпустив его с открытым исходным кодом в 2000 году.
Подобно приложению VeriSign, RSA выпустила бесплатное приложение SecureID для iPhone, Blackberry, Windows Mobile и некоторых других платформ. К сожалению, по состоянию на эту дату они не выпустили приложение для платформы Android. У вас также есть решение RSA для использования мобильного генератора OTP, которое может быть получено с вашего рабочего места, из банка или любого другого имени входа, которое может потребоваться защитить.
Решения RSA широко используются во всем мире.
FireID
FireID — это запуск в пространстве двухфакторной аутентификации. Хотя они и новички в этой области, у них действительно хорошее приложение для iPhone. На их веб-сайте говорится, что они также поддерживают устройства Blackberry, Android, Windows Mobile и Symbian, но я не смог найти никакой информации об этих продуктах, и я не уверен, были ли они выпущены.
Это определенно компания, за которой нужно следить.
ArcotOTP [Больше не доступно]
ArcotOTP — это еще один генератор одноразовых паролей. Будучи менее известным, чем другие, Arcot является «начинающей» компанией в этой области и считает почтенного Брюса Шнайера советником компании. ArcotOTP — это запатентованная технология, в которой вам потребуется использовать программное обеспечение, связанное с решением ArcotOTP.
SafeNet MobilePASS
SafeNet предоставляет набор различных решений для обеспечения безопасности и аутентификации, а также имеет хороший набор приложений OTP для нескольких платформ, включая iPhone, Blackberry, Windows Mobile и SMS. Примечательно, что Android отсутствует в этом списке.
Хотя это и не полный список бесплатных мобильных генераторов OTP, вышесказанное дает вам хорошее представление о некоторых основных игроках в этой области и о более популярных решениях, которые предлагают мобильный клиент, а не аппаратный токен. Существует множество провайдеров OTP, у каждого из которых есть своя собственная платформа для безопасного входа в систему.
VeriSign — это, вероятно, тот, с которым вы будете наиболее знакомы и пользуетесь наибольшим спросом в электронной коммерции, поскольку их используют Paypal / eBay, Salesforce и другие популярные веб-приложения. Какое бесплатное приложение вы бы использовали, вероятно, продиктовано веб-сайтами, на которые вам нужно войти, и какую двухфакторную схему они используют.
Какой бы способ оплаты вы ни выбрали для реализации двухфакторной аутентификации, эти бесплатные приложения указывают на некоторых провайдеров, которые прогрессировали в отношении «конвергенции мобильных устройств», позволяя вам отказаться от отдельного токена и использовать одно устройство для повышения безопасности входа в систему.
Сообщите нам, как легко вы можете использовать эти генераторы паролей или какие другие схемы безопасности вы используете для защиты ваших паролей.
[В качестве постскриптума я просто хотел указать, что в двухфакторной аутентификации есть дыра, которая является зияющей — атака «Человек посередине» все еще может победить эту схему аутентификации. По сути, злоумышленник находится между вами (вход в систему) и сервером, передавая вашу информацию на законный сервер, включая одноразовый пароль. Это довольно непонятная проблема безопасности для обычного потребителя, поэтому добавление двухфакторной аутентификации к вашим процессам входа в систему обеспечивает гораздо большую безопасность, чем обычная однофакторная схема. ]
Изображение предоставлено: mikebaird .