Tokeny RSA zagrożone
Fot. Bruno Cordioli [(CC) BY br1dotcom / flickr.com]
Tokeny to niewielkie breloczki, albo "kalkulatorki? pokazujące na wyświetlaczach zmieniające się co chwilę hasła jednorazowe. "Kalkulatorki? pozwalają też na "podpisywanie? wstukanej na klawiszach liczby za pomocą zaszytego w środku tajnego klucza, co jest wykorzystywane na przykład przy autoryzacji transakcji bankowych. Dzięki poprawnemu podpisowi, bank wie, że autoryzowaliśmy tę konkretną transakcję i żaden złośliwy program nie podmienił po drodze numeru konta, na które idzie przelew. Podobnie, przy hasłach jednorazowych, bank wie, że hasło jest poprawne, bo oprogramowanie autoryzujące obliczy, że dany token o 5:23 powinien pokazać takie, a nie inne hasło.
Zasada działania tokena opiera się o zaszytą w urządzeniu informację - klucz - która jest znana przez oprogramowanie systemu do którego się autoryzujemy. Każdy klucz - nazywany też "wspólną tajemnicą? (shared secret) - jest inny, i tylko znając klucz można się podszyć pod użytkownika tokena. Po zaprogramowaniu tokena, klucza nie można już z niego wydobyć.
Największy producent tokenów, firma RSA Security (obecnie będąca własnością korporacji EMC) ogłosiła właśnie, że na skutek "bardzo wyrafinowanego? internetowego włamania, w ręce przestępców dostały się informacje mogące osłabić efektywność oferowanych przez firmę narzędzi bezpieczeństwa. Nie wiadomo, jakie informacje wyciekły, ani jaki wpływ mają na bezpieczeństwo tokenów.
Jednocześnie swoim klientom firma przesłała listę środków zaradczych, są to między innymi:
* ograniczenie dostępu do aplikacji społecznościowych dla użytkowników krytycznych aplikacji
* wprowadzenie polityk wymuszania mocnych haseł i numerów PIN
* przydzielanie użytkownikom jak najmniejszych uprawnień
* szkolenie użytkowników z nie podawania haseł i innych tego typu informacji osobom proszącym o to w e-mailach i przez telefon
* aktualizacja systemów i nałożenie dostępnych łat
* ograniczenie dostępu sieciowego i fizycznego do maszyn na których działają serwery zabezpieczeń.
W każdej sytuacji są to dobre reguły bezpieczeństwa sieciowego.
[na podstawie informacji firmy RSA, Wired Threat Level]
Janusz A. Urbanowicz
-
Rok pandemii w Polsce kończymy posępną liczbą. Jakby zniknęły całe Siedlce. Drugie miejsce w UE
-
Amazon czy Allegro - gdzie jest taniej? Analiza 1000 produktów daje odpowiedź
-
Polskie szczepionki na koronawirusa - supertanie, supernowoczesne i bez żadnego rządowego wsparcia
-
Mapa bogactwa w UE pokazuje stary podział. Wschód wciąż mocno odstaje. W Polsce widać samotną wyspę
-
Rząd miał otwierać szampana, a musi wylać na głowę kubeł zimnej wody. Bezrobocie jednak rośnie
- Dodatki do renty i emerytury również podlegają waloryzacji. Jakie są nowe kwoty?
- Afera Amber Gold. Część wierzycieli nie otrzyma zadośćuczynienia
- Dwanaście miesięcy koronawirusa w Polsce na dwunastu wykresach. Tak zmieniały się liczby i nastroje
- Biedronka znów rozdaje niektóre produkty za darmo. Znamy szczegóły promocji
- PIT 2021. Jak sprawdzić, czy mój PIT za 2020 rok został rozliczony?