Annonse
One Time Password (OTP) tokens blir vanligvis betraktet som det ypperste innen nyttig forbrukerpåloggingssikkerhet. De er en sentral del for å bruke a To-faktor autentisering system som drastisk øker sikkerheten for en pålogging fra et typisk brukerfaktor enkeltfaktorsystem.
Brukernavn / passord-sikkerhetsplanen anses som veldig usikker av flere årsaker, inkludert pakke- eller tastetrykk, nettfiskeangrep og andre sosiale ingeniørproblemer. To faktorgodkjenningsordninger legger til et annet lag med sikkerhet ved å la en bruker hente et annet passord fra en utenfor båndkilden, for eksempel en passordgenererende enhet (for eksempel en OTP-token) eller SMS tekst.
Siden dette passordet hele tiden endres med tidsbestemte intervaller - er det nesten umulig for en vil-hacker å stjele brukernavnet og passordet ditt og logge på uten å ha dette symbolet.
Disse symbolene er vanligvis for betaling fordi de er en fysisk enhet, men med den siste økningen i apper tilgjengelig for mobile enheter, tilbyr mange OTP-leverandører nå gratis apper som tar plassen til en fysisk enhet.
Nedenfor er noen av de mer populære passordgeneratorene som jeg har kommet over, og prøv skjermbilder av dem i aksjon:
VeriSign Identity Protection (VIP) tilgang for mobil
Verisign er en av de største leverandørene av fysiske en-gang-passord-symboler. Deres maskinvaretokener er rimelige for sluttbrukeren og kan brukes på en rekke populære nettsteder, inkludert eBay, SalesForce, Box.net, Paypal og mer. Du kan bestille en lavkostnøkkel ($ 5) fra Paypal, eller som jeg nylig har oppdaget, last ned en gratis mobilapp.
Verisign tilbyr programvare for et bredt utvalg av mobile enheter, inkludert iPhone, Android, Windows Mobile, Blackberry og mer. Bare last ned programvaren og kjør passordgenerator-programmet - på sin første kjøring blir en unik signatur generert og registrert på VeriSigns servere. Enheten din har en unik ID som du deretter registrerer med påloggingen din på et eksternt nettsted.
Etter det når du åpner programmet, vil det vise deg det gjeldende passordet du skal bruke under tofaktorautentisering. Lett.
En annen stor aktør i feltet tofaktorautentisering er RSA. RSA var faktisk pioner på sikkerhetsområdet, opprinnelig patentering en metode for å kryptere kommunikasjonskanaldata tilbake i 1983 og frigjøre den åpen kildekode i 2000.
I likhet med VeriSign-appen har RSA gitt ut SecureID-appen gratis til iPhone, Blackberry, Windows Mobile og noen få andre plattformer. Dessverre har de ikke gitt ut en app til Android-plattformen fra og med denne publiseringsdatoen. Du har også en RSA-løsning på plass for å bruke den mobile OTP-generatoren, dette vil komme fra arbeidsplassen din, banken din eller annen innlogging som måtte være sikret.
RSA-løsninger er i utbredt bruk over hele verden.
FireID er en oppstart på tofaktors autentiseringsplass. Selv om de er nye på feltet, har de en veldig fin iPhone-app. Nettstedet deres oppgir at de også støtter Blackberry-, Android-, Windows Mobile- og Symbian-enheter, men jeg kunne ikke finne noen informasjon om disse produktene, og jeg er ikke sikker på om de har blitt utgitt ennå.
De er definitivt et selskap å holde øye med.
ArcotOTP [Ikke lenger tilgjengelig]
ArcotOTP er en annen engangs passordgenerator. Mens han er mindre kjent enn de andre, er Arcot et ‘up and come’ selskap på dette feltet, og teller den ærverdige Bruce Schneier som rådgiver for selskapet. ArcotOTP er en egenutviklet teknologi der du trenger bruk av programvare som er bundet til en ArcotOTP-løsning.
SafeNet tilbyr en serie forskjellige sikkerhets- og autentiseringsløsninger, og har også et fint utvalg av OTP-applikasjoner for flere plattformer, inkludert iPhone, Blackberry, Windows Mobile og SMS. Spesielt Android mangler fra denne listen.
Selv om det ikke er en omfattende liste over gratis mobile OTP-generatorer, gir ovennevnte deg en god ide om noen av disse store aktører i feltet og de mer populære løsningene som tilbyr en mobil klient i stedet for en maskinvarebasert token. Det er mange OTP-leverandører der ute, hver med sin egen plattform for å sikre pålogginger.
VeriSign er sannsynligvis den du vil være mest kjent med og har den mest e-handel adopsjon, siden Paypal / eBay, Salesforce og andre populære webapper bruker dem. Hvilken gratis app du vil bruke er sannsynligvis diktert av nettstedene du trenger å logge deg på og hvilken tofaktorordning de bruker.
Uansett hvilken foretrukket metode du bruker for å implementere tofaktorautentisering, peker disse gratis appene deg mot noen leverandører som har vært progressiv med tanke på "konvergens av den mobile enheten", slik at du kan gi avkall på et eget token og bruke en enhet for å øke innloggingen sikkerhet.
La oss få vite hvor enkelt du finner disse passordgeneratorene å bruke, eller hvilke andre sikkerhetsordninger du bruker for å sikre passordene dine.
[Som et postscript ville jeg bare påpeke at tofaktorautentisering har et gapende hull i det - en mann i midten-angrepet er fremdeles i stand til å beseire denne godkjenningsplanen. I utgangspunktet sitter en angriper mellom deg (logger på) og serveren, og gir informasjonen din videre til den legitime serveren, inkludert passordet én gang. Dette er et ganske uklar sikkerhetsproblem for den generelle forbrukeren, så å legge til tofaktorautentisering til dine påloggingsprosesser gir mye større sikkerhet enn et vanlig ordning med en faktor. ]
Bildekreditt: mikebaird.
Dave Drager jobber hos XDA Developers i forstedene til Philadelphia, PA.