Nos complace anunciar dos nuevos modelos de tokens TOTP programables, tanto en una tarjeta pequeña (
miniOTP-3 ) como en un factor de forma de
llavero (
C301 ), ahora con
sincronización de tiempo restringida .
Sobre Token2TOKEN2 Productos y servicios de autenticación multifactorial LTD (nombre corto TOKEN2) es una compañía multinacional de seguridad de TI con sede en Versoix, Suiza, que ofrece varias soluciones de seguridad, como tokens de hardware, una aplicación móvil, servidor TOTPRadius y Token2 Cloud API (autenticación de dos factores como un servicio)
¿Qué es la autenticación multifactor?La autenticación de múltiples factores es actualmente uno de los estándares de facto para sistemas que requieren una seguridad sólida. En la mayoría de los casos, la autenticación multifactor es bastante compleja y no muy fácil de usar, ya que requiere pasos adicionales en lo que respecta a los usuarios finales: por ejemplo, con autenticación de dos factores, además de ingresar un nombre de usuario y una contraseña (generalmente considerado como un primer factor), los usuarios deben ingresar manualmente un código adicional (segundo factor) que reciben por mensajes de texto, buscar en una lista de contraseñas impresas previamente o generadas por un token de hardware o software.
¿Por qué es importante la sincronización horaria?La deriva de tiempo promedio para los tokens de hardware TOTP puede ser de hasta 2 minutos por año ... Después de un período de tiempo (es decir, 1 a 2 años), algunos de los tokens pueden desplazarse fuera de la ventana de sincronización global. Es probable que un token que no se usa con mucha frecuencia vaya más allá de la ventana de sincronización que usa un servidor de autenticación. Además, las organizaciones tienen miedo de mantener un gran stock de tokens de hardware: un token que no se usa en absoluto tendrá su batería casi como nueva, pero la deriva del tiempo no permitirá usar el token en absoluto, lo que hace que tales inversiones estar completamente desprotegido Para solucionar este problema, hemos desarrollado productos que permiten sincronizar el reloj de hardware mediante una aplicación especial
Nuestros primeros tokens (
miniOTP-2 y
OTPC-P1 ) con sincronización horaria están disponibles en nuestra tienda en línea desde febrero de 2019, los primeros modelos se crean específicamente para servicios como DUO u Okta, que ignoran las recomendaciones de RFC y no ajustan automáticamente el deriva del tiempo.
Sincronización de tiempo sin restricciones
La función de sincronización de tiempo de los primeros modelos con sincronización de tiempo no está
restringida , lo que significa que modificar el tiempo de los tokens no cambiará el valor inicial, por lo tanto, existe un pequeño riesgo de un ataque de repetición, que se describe a continuación.
Repetir detalles del ataqueCambiar la hora en un token de hardware no es tan simple como ajustar su reloj de pulsera: existe un riesgo potencial de seguridad (ataque de repetición de código TOTP) si solo se está cambiando el reloj del sistema. El ataque de repetición de código es bastante fácil de explicar. Imagine que un usuario está bajo ataque y el atacante tiene acceso al token de hardware, incluso solo por unos minutos. Si permitimos cambiar solo el tiempo, los atacantes pueden establecer el tiempo en el futuro y anotar el código OTP que genera el token. Este proceso puede repetirse un número significativo de veces, por lo que el atacante tendría, digamos, 100 códigos OTP que el token de la víctima mostrará en ciertos momentos en el futuro cercano (o lejano). Mientras tanto, vale la pena mencionar que el riesgo de tales ataques es mínimo y solo se puede realizar si se cumplen todas las condiciones siguientes:
- Los atacantes ya conocen el primer factor (nombre de usuario y contraseña)
- Los atacantes tienen acceso físico al token de hardware
- Los atacantes pueden acceder discretamente al token de hardware a través de NFC durante un largo período de tiempo (es decir, se necesitan 15-20 minutos para establecer el tiempo, generar una cantidad significativa de códigos OTP futuros y retrasar el tiempo).
Estas condiciones son relativamente difíciles de cumplir y se pueden comparar con una situación en la que se roba un token de hardware.
Sincronización de tiempo restringido
Los nuevos modelos tienen
sincronización de tiempo restringida , lo que significa que establecer la hora borrará automáticamente la semilla por motivos de seguridad (para evitar el riesgo de un ataque de repetición). Sin embargo, por la misma razón, no se recomienda el uso de estos modelos con sistemas que no admiten deriva de tiempo, como DUO.
Por lo tanto, la principal ventaja de los tokens de hardware con sincronización de tiempo restringida es la posibilidad de inscribirlos en sistemas compatibles con RFC después de un largo período (es decir, puede comprar los tokens hoy e inscribirse en unos años después de ajustar el tiempo).
Cómo hacer un pedido?
Siéntase libre de hacer un pedido en
línea . Use el código de promoción
HABR201904 para obtener un descuento del 5%.