Tokeny RSA zagrożone
Fot. Bruno Cordioli [(CC) BY br1dotcom / flickr.com]
Tokeny to niewielkie breloczki, albo "kalkulatorki? pokazujące na wyświetlaczach zmieniające się co chwilę hasła jednorazowe. "Kalkulatorki? pozwalają też na "podpisywanie? wstukanej na klawiszach liczby za pomocą zaszytego w środku tajnego klucza, co jest wykorzystywane na przykład przy autoryzacji transakcji bankowych. Dzięki poprawnemu podpisowi, bank wie, że autoryzowaliśmy tę konkretną transakcję i żaden złośliwy program nie podmienił po drodze numeru konta, na które idzie przelew. Podobnie, przy hasłach jednorazowych, bank wie, że hasło jest poprawne, bo oprogramowanie autoryzujące obliczy, że dany token o 5:23 powinien pokazać takie, a nie inne hasło.
Zasada działania tokena opiera się o zaszytą w urządzeniu informację - klucz - która jest znana przez oprogramowanie systemu do którego się autoryzujemy. Każdy klucz - nazywany też "wspólną tajemnicą? (shared secret) - jest inny, i tylko znając klucz można się podszyć pod użytkownika tokena. Po zaprogramowaniu tokena, klucza nie można już z niego wydobyć.
Największy producent tokenów, firma RSA Security (obecnie będąca własnością korporacji EMC) ogłosiła właśnie, że na skutek "bardzo wyrafinowanego? internetowego włamania, w ręce przestępców dostały się informacje mogące osłabić efektywność oferowanych przez firmę narzędzi bezpieczeństwa. Nie wiadomo, jakie informacje wyciekły, ani jaki wpływ mają na bezpieczeństwo tokenów.
Jednocześnie swoim klientom firma przesłała listę środków zaradczych, są to między innymi:
* ograniczenie dostępu do aplikacji społecznościowych dla użytkowników krytycznych aplikacji
* wprowadzenie polityk wymuszania mocnych haseł i numerów PIN
* przydzielanie użytkownikom jak najmniejszych uprawnień
* szkolenie użytkowników z nie podawania haseł i innych tego typu informacji osobom proszącym o to w e-mailach i przez telefon
* aktualizacja systemów i nałożenie dostępnych łat
* ograniczenie dostępu sieciowego i fizycznego do maszyn na których działają serwery zabezpieczeń.
W każdej sytuacji są to dobre reguły bezpieczeństwa sieciowego.
[na podstawie informacji firmy RSA, Wired Threat Level]
Janusz A. Urbanowicz
-
"Grzyb, który zamienia mrówki w zombie". Lasy Państwowe pokazały przerażające zjawisko
-
Popłoch w firmach. Od 1 października nowe przepisy. "Skarbówka nie odpuści żadnej kary"
-
Jedni górnicy strajkowali pod ziemią, inni wywalczyli porozumienie. Wygaszanie kopalń do 2049 r.
-
Jednorazowa odprawa, nawet cztery lata urlopu - są szczegóły umowy górników z rządem
-
1587 nowych przypadków koronawirusa. Współczynnik zakaźności szybuje. Możliwe nowe obostrzenia
- Z państwowych autostrad znikną bramki. MF i KAS wprowadzą nowy system. Znany datę
- Górnicy dogadani z rządem. Ekspert: Absurdalne marnotrawstwo pieniędzy. Możliwe podwyżki cen prądu
- Szybko rośnie nie tylko liczba zakażonych. Coraz więcej osób musi iść na kwarantannę [WYKRES DNIA]
- Tak można się uczyć! Z nowoczesnym ASUS A512, zawsze w dobrym tonie
- Tak można pracować! Z wielozadaniowym laptopem HP 15S