Anuncio
Los tokens de contraseña de un solo uso (OTP) generalmente se consideran lo último en seguridad útil para el inicio de sesión del consumidor. Son una parte clave para usar un Autenticación de dos factores sistema que aumenta drásticamente la seguridad de un inicio de sesión desde un sistema de factor único de nombre de usuario / contraseña típico.
El esquema de seguridad de nombre de usuario / contraseña se considera muy inseguro por varias razones, incluida la facilidad de rastreo de paquetes o pulsaciones de teclas, ataques de phishing y otros problemas de ingeniería social. Los esquemas de autenticación de dos factores agregan otra capa de seguridad al hacer que un usuario recupere otra contraseña de una fuente fuera de banda, como un dispositivo generador de contraseña (como un token OTP) o SMS texto.
Dado que esta contraseña cambia constantemente a intervalos programados, es casi imposible para un posible hacker robar su nombre de usuario y contraseña e iniciar sesión sin tener este token.
Estos tokens generalmente son de pago ya que son un dispositivo físico, pero con el reciente aumento de aplicaciones disponible para dispositivos móviles, muchos proveedores de OTP ahora ofrecen aplicaciones gratuitas que toman el lugar de un físico dispositivo.
A continuación se presentan algunos de los generadores de contraseñas más populares que he encontrado y capturas de pantalla de muestra de ellos en acción:
Acceso VeriSign Identity Protection (VIP) para dispositivos móviles
Uno de los mayores proveedores de tokens físicos de contraseña única es Verisign. Sus tokens de hardware son de bajo costo para el usuario final y se pueden usar en varios sitios en línea populares, incluidos eBay, SalesForce, Box.net, Paypal y más. Puede solicitar una clave de bajo costo ($ 5) de Paypal o, como descubrí recientemente, descargar una aplicación gratuita para dispositivos móviles.
Verisign ofrece software para una amplia variedad de dispositivos móviles, incluidos iPhone, Android, Windows Mobile, Blackberry y más. Simplemente descargue el software y ejecute el programa generador de contraseñas: en su primera ejecución, se genera una firma única y se registra en los servidores de VeriSign. Su dispositivo tiene una identificación única que luego registra con su inicio de sesión en un sitio externo.
Después de eso, cada vez que abra el programa, le mostrará la contraseña actual para usar durante la autenticación de dos factores. Fácil.
Otro gran jugador en el campo de la autenticación de dos factores es RSA. RSA fue realmente pionera en el campo de la seguridad, originalmente patentar un método para encriptar los datos del canal de comunicación en 1983 y lanzarlo de código abierto en 2000.
Al igual que la aplicación VeriSign, RSA ha lanzado su aplicación SecureID de forma gratuita para iPhone, Blackberry, Windows Mobile y algunas otras plataformas. Desafortunadamente, no han lanzado una aplicación para la plataforma Android a partir de esta fecha de publicación. También tiene una solución RSA para usar el generador de OTP móvil, esto vendría de su lugar de trabajo, banco o cualquier otro inicio de sesión que deba ser asegurado.
Las soluciones RSA se utilizan ampliamente en todo el mundo.
FireID es un inicio en el espacio de autenticación de dos factores. Si bien son nuevos en el campo, tienen una aplicación para iPhone realmente agradable. Su sitio web afirma que también son compatibles con dispositivos Blackberry, Android, Windows Mobile y Symbian, pero no pude encontrar ninguna información sobre estos productos y no estoy seguro de si se han lanzado todavía.
Definitivamente son una compañía para vigilar.
ArcotOTP [ya no está disponible]
ArcotOTP es otro generador de contraseñas de una sola vez. Aunque es menos conocido que los demás, Arcot es una empresa "prometedora" en este campo, y cuenta con el venerable Bruce Schneier como asesor de la empresa. ArcotOTP es una tecnología patentada en la que necesitará usar un software vinculado a una solución ArcotOTP.
SafeNet proporciona un conjunto de diferentes soluciones de seguridad y autenticación, y también tiene una buena gama de aplicaciones OTP para múltiples plataformas, incluyendo iPhone, Blackberry, Windows Mobile y SMS. En particular, falta Android en esta lista.
Si bien no es una lista completa de generadores de OTP móviles gratuitos, lo anterior le da una buena idea sobre algunos de los jugadores importantes en el campo y las soluciones más populares que ofrecen un cliente móvil en lugar de un hardware simbólico. Existen muchos proveedores de OTP, cada uno con su propia plataforma para proteger los inicios de sesión.
VeriSign es probablemente con el que estará más familiarizado y tiene la mayor adopción de comercio electrónico, ya que Paypal / eBay, Salesforce y otras aplicaciones web populares las usan. Es probable que la aplicación gratuita que utilice esté determinada por los sitios web en los que necesita iniciar sesión y el esquema de dos factores que utilizan.
Cualquiera que sea su método preferido para implementar la autenticación de dos factores, estas aplicaciones gratuitas lo dirigen hacia algunos proveedores que han sido progresivo en la mentalidad de "convergencia del dispositivo móvil", lo que le permite renunciar a un token separado y usar un dispositivo para aumentar su inicio de sesión seguridad.
Háganos saber qué tan fácil es usar estos generadores de contraseñas o qué otros esquemas de seguridad usa para ayudar a proteger sus contraseñas.
[Como postdata, solo quería señalar que la autenticación de dos factores tiene un agujero enorme: un ataque de Man in the Middle todavía puede vencer este esquema de autenticación. Básicamente, un atacante se encuentra entre usted (iniciando sesión) y el servidor, pasando su información al servidor legítimo, incluida la contraseña de un solo uso. Este es un problema de seguridad bastante oscuro para el consumidor general, por lo que agregar autenticación de dos factores a sus procesos de inicio de sesión ofrece una seguridad mucho mayor que un esquema regular de un factor. ]
Credito de imagen: Mikebaird.
Dave Drager trabaja en XDA Developers en los suburbios de Philadelphia, PA.
