Tokeny RSA zagrożone
Fot. Bruno Cordioli [(CC) BY br1dotcom / flickr.com]
Tokeny to niewielkie breloczki, albo "kalkulatorki? pokazujące na wyświetlaczach zmieniające się co chwilę hasła jednorazowe. "Kalkulatorki? pozwalają też na "podpisywanie? wstukanej na klawiszach liczby za pomocą zaszytego w środku tajnego klucza, co jest wykorzystywane na przykład przy autoryzacji transakcji bankowych. Dzięki poprawnemu podpisowi, bank wie, że autoryzowaliśmy tę konkretną transakcję i żaden złośliwy program nie podmienił po drodze numeru konta, na które idzie przelew. Podobnie, przy hasłach jednorazowych, bank wie, że hasło jest poprawne, bo oprogramowanie autoryzujące obliczy, że dany token o 5:23 powinien pokazać takie, a nie inne hasło.
Zasada działania tokena opiera się o zaszytą w urządzeniu informację - klucz - która jest znana przez oprogramowanie systemu do którego się autoryzujemy. Każdy klucz - nazywany też "wspólną tajemnicą? (shared secret) - jest inny, i tylko znając klucz można się podszyć pod użytkownika tokena. Po zaprogramowaniu tokena, klucza nie można już z niego wydobyć.
Największy producent tokenów, firma RSA Security (obecnie będąca własnością korporacji EMC) ogłosiła właśnie, że na skutek "bardzo wyrafinowanego? internetowego włamania, w ręce przestępców dostały się informacje mogące osłabić efektywność oferowanych przez firmę narzędzi bezpieczeństwa. Nie wiadomo, jakie informacje wyciekły, ani jaki wpływ mają na bezpieczeństwo tokenów.
Jednocześnie swoim klientom firma przesłała listę środków zaradczych, są to między innymi:
* ograniczenie dostępu do aplikacji społecznościowych dla użytkowników krytycznych aplikacji
* wprowadzenie polityk wymuszania mocnych haseł i numerów PIN
* przydzielanie użytkownikom jak najmniejszych uprawnień
* szkolenie użytkowników z nie podawania haseł i innych tego typu informacji osobom proszącym o to w e-mailach i przez telefon
* aktualizacja systemów i nałożenie dostępnych łat
* ograniczenie dostępu sieciowego i fizycznego do maszyn na których działają serwery zabezpieczeń.
W każdej sytuacji są to dobre reguły bezpieczeństwa sieciowego.
[na podstawie informacji firmy RSA, Wired Threat Level]
Janusz A. Urbanowicz
-
Przedszkola i żłobki zamknięte na dłużej? Nieoficjalnie: Rząd wysłał sygnał
-
Glapiński zatwierdził banknot z wizerunkiem Lecha Kaczyńskiego. "Chcemy oddać hołd wielkiemu człowiekowi"
-
Podatek od zakupu mieszkania - ile wynosi i jakie stawki obowiązują? Kto płaci podatek od wzbogacenia?
-
Podatek od samochodu. Kto musi zapłacić podatek od kupna samochodu?
-
NFZ zapłaci 188 zł za każdy dzień rehabilitacji po przebytej chorobie COVID-19
- Świetny smartfon, który słabo się sprzedaje. iPhone 12 mini po czterech miesiącach [TOPtech]
- Niemcy. Rząd planuje nocną godzinę policyjną. Może objąć połowę kraju
- Nowa rzeczywistość biznesowi się opłaca? "Łatwiej spotkać się online, niż jechać z drugiego końca świata" [WYWIAD]
- Iran. Awaria w zakładzie wzbogacania uranu. "Incydent nie spowodował ofiar", ale kraj może inny problem
- Zysk NBP w 2020 wyniósł ponad 9 mld zł. Ogromna suma wpłynie do budżetu państwa