Tokeny RSA i ich bezpieczeństwo

[xorg 693]

Hey,

 

czy miał ktoś z Was kiedyś problem z bezpieczeństwem tokenów RSA?

[tym 205]

Tzn? Ja mam zawsze na biurku, ewentualnie wrzucam do plecaka czy też do saszetki. Są trwałe, jednym pare lat temu otwierałem piwo setki razy ;-) No i jest również wodoodporny, bo przeżył pralkę. Świetne rozwiązanie dla mobilnych, nie trzeba czekać na nową 'dostawę' kodów czy też bulić za dodatkowe kody SMS (w zależności od banków). Także polecam tą formę uwierzytelniania.

[xorg 693]

W moim przypadku token RSA został podrobiony i ktoś uzyskał nieautoryzowany dostęp do webapi banku.

 

Wpisanie "tokeny rsa" w Google na samym początku wypluwa ciekawe efekty:

http://www.benchmark.pl/aktualnosci/Masz_e-konto._Uwaga_na_tokeny_RSA-33920.html

http://technologie.gazeta.pl/internet/1,104530,9279773,Tokeny_RSA_zagrozone.html

Edytowano Wrzesień 9, 2011 przez xorg (zobacz historię edycji)

[tym 205]

Nigdy o tym nie słyszałem, natomiast moim zdaniem dobre hasło + token jest nie do przejścia. Rzeczywiście goście musieli mieć łeb na karku by jakkolwiek skompromitować ten kanał weryfikacji. Jednakże czuję się bezpiecznie, choć artykuł w pewien sposób wymusił na mnie zmianę hasła :-)

[blackfire 185]

http://boingboing.net/2011/05/27/attack-on-rsas-secur.html i ogólnie utfg: rsa lockheed martin

 

Zakładam że przedpiśca to nie bezpiecznik Lockheed-Martin i nikt na niego polować nie będzie więc może spać spokojnie ale IMHO równie dobre (do pewnego poziomu wymagań i do pewnej skali) są kody jednorazowe na tradycyjnej kartce w portfelu albo (też jednorazowe) hasła SMSowe.

 

tym: http://arstechnica.com/security/news/2011/04/spearphishing-0-day-rsa-hack-not-extremely-sophisticated.ars

[FilipS 7]

Co do bezpieczeństwa i opinii tokenów wypowiedzieć się nie mogę, z tego co udało mi się zaobserwować to niektóre banki dodają do oferty tokeny a inne usuwają. Z tego co wiem to obecnie w większości banków token to aplikacja na telefon komórkowy i aby go uruchomić wymagane są dane do logowania i oczywiści dostęp do internetu.

[kafi 2425]

W moim przypadku token RSA został podrobiony i ktoś uzyskał nieautoryzowany dostęp do webapi banku.

Nie to, żebym się jakoś sceptycznie odnosił, ale który bank oferuje autoryzację tylko po podaniu kodu z tokena?

Zazwyczaj jest jakieś user/hasło jeszcze (i "włamywacz" musiał chyba też je znać), a tokenem weryfikuje się tylko operacje.

Może po prostu... ktoś skubnął ci go z kieszeni, ewentualnie wyphishingował jakieś dane?

Ewentualnie może ktoś po prostu "w twoim imieniu" poszedł do banku i dostał socjotechnicznymi metodami dane logowania + duplikat?

[d.v 1409]

Ja się z tokenem czuję bezpiecznie - do zalogowania na konto potrzebna jest nazwa użytkownika i do tego 4-cyfrowy numer pin + 6 cyfr z tokena. Do zatwierdzenia każdej operacji też 4 cyfry pin + 6 cyfr z tokena. Mało wygodne jest to, że numery w tokenie zmieniają się co 60 sekund i nie można wykonać dwóch operacji tym samym numerem, więc daje to maks. 1 operację na minutę, ale uważam bezpieczeństwo takiego rozwiązania za w pełni wystarczające do takiego zastosowania. Złamanie jednocześnie nazwy użytkownika (przypadkowy ciąg 7 znaków alfanumerycznych) + pinu + tokena jest na tyle skomplikowane, że raczej nie obawiam się, żeby ludzie posiadający umiejętności na to pozwalające tracili czas na włamy do takich mało ciekawych kont jak moje