Программный токен (также известный как программный токен ) — это часть устройства безопасности двухфакторной аутентификации , которое может использоваться для авторизации использования компьютерных услуг. [1] Программные токены хранятся на электронном устройстве общего назначения, таком как настольный компьютер , ноутбук , КПК или мобильный телефон , и могут быть продублированы. (В отличие от аппаратных токенов , где учетные данные хранятся на выделенном аппаратном устройстве и, следовательно, не могут быть дублированы — при отсутствии физического вторжения на устройство)
Поскольку программные токены — это то, чем человек физически не обладает, они подвергаются уникальным угрозам, основанным на дублировании основного криптографического материала, например, компьютерным вирусам и программным атакам. Как аппаратные, так и программные токены уязвимы для атак «человек посередине» с использованием ботов или для простых фишинговых атак, при которых одноразовый пароль, предоставленный токеном, запрашивается, а затем своевременно предоставляется на подлинный веб-сайт. . У программных токенов есть преимущества: не нужно носить с собой физический токен, они не содержат батарей , которые могут разряжаться, и они дешевле, чем аппаратные токены. [2]
Существует две основные архитектуры программных токенов: общий секрет и криптография с открытым ключом .
Для общего секрета администратор обычно создает файл конфигурации для каждого конечного пользователя. Файл будет содержать имя пользователя, личный идентификационный номер и секрет . Этот файл конфигурации предоставляется пользователю.
Общая секретная архитектура потенциально уязвима в ряде областей. Файл конфигурации может быть скомпрометирован, если он украден и скопирован токен. С помощью программных токенов, основанных на времени, можно одолжить у человека КПК или ноутбук, перевести часы вперед и сгенерировать коды, которые будут действительны в будущем. Любой программный токен, который использует общие секреты и хранит PIN-код вместе с общим секретом в программном клиенте, может быть украден и подвергнут автономным атакам. Распространение общих секретных токенов может быть затруднено, поскольку каждый токен, по сути, представляет собой отдельную часть программного обеспечения. Каждый пользователь должен получить копию секрета, что может создавать ограничения по времени.
Некоторые новые программные токены основаны на криптографии с открытым ключом или асимметричной криптографии. Эта архитектура устраняет некоторые традиционные недостатки программных токенов, но не затрагивает их основную слабость (способность дублировать). ПИН-код может храниться на удаленном сервере аутентификации , а не в клиенте токенов, поэтому украденный программный токен бесполезен, если ПИН-код также не известен. Однако в случае заражения вирусом криптографический материал может быть продублирован, а затем ПИН-код может быть получен (с помощью кейлогинга или аналогичного метода) при следующей аутентификации пользователя. Если предпринимаются попытки угадать PIN-код, он может быть обнаружен и зарегистрирован на сервере аутентификации, который может отключить токен. Использование асимметричной криптографии также упрощает реализацию, поскольку клиент токена может генерировать собственную пару ключей и обмениваться открытыми ключами с сервером.