Wir freuen uns, zwei neue Modelle programmierbarer TOTP-Token
vorstellen zu können , sowohl in einer kleinen Karte (
miniOTP-3 ) als auch in einem Keyfob-Formfaktor (
C301 ), jetzt mit
zeitlich begrenzter Synchronisation .
Über Token2TOKEN2 Multifactor-Authentifizierungsprodukte und -dienste LTD (Kurzname TOKEN2) ist ein multinationales IT-Sicherheitsunternehmen mit Hauptsitz in Versoix, Schweiz, das verschiedene Sicherheitslösungen wie Hardwaretoken, eine mobile Anwendung, einen TOTPRadius-Server und die Token2 Cloud API (Zwei-Faktor-Authentifizierung) anbietet als Dienstleistung)
Was ist Multi-Faktor-Authentifizierung?Die Multi-Faktor-Authentifizierung ist derzeit einer der De-facto-Standards für Systeme, die eine hohe Sicherheit erfordern. In den meisten Fällen ist die Multi-Faktor-Authentifizierung recht komplex und nicht sehr benutzerfreundlich, da für Endbenutzer zusätzliche Schritte erforderlich sind: z. B. bei der Zwei-Faktor-Authentifizierung zusätzlich zur Eingabe eines Benutzernamens und eines Kennworts (normalerweise als erster Faktor betrachtet) Benutzer müssen manuell einen zusätzlichen Code (zweiten Faktor) eingeben, den sie entweder per SMS erhalten, in einer zuvor gedruckten Liste von Kennwörtern nachschlagen oder von einem Hardware- oder Software-Token generiert werden.
Warum ist die Zeitsynchronisation wichtig?Die durchschnittliche Zeitdrift für TOTP-Hardware-Token kann bis zu 2 Minuten pro Jahr betragen ... Nach einem bestimmten Zeitraum (dh 1–2 Jahre) können einige der Token außerhalb des globalen Synchronisationsfensters driften. Ein Token, das nicht sehr oft verwendet wird, driftet wahrscheinlich noch mehr über das Synchronisationsfenster hinaus, das ein Authentifizierungsserver verwendet. Darüber hinaus haben Unternehmen Angst, einen großen Bestand an Hardware-Token aufzubewahren: Bei einem Token, der überhaupt nicht verwendet wird, ist der Akku fast wie neu, aber aufgrund der Zeitverschiebung kann der Token überhaupt nicht verwendet werden, was zu solchen Investitionen führt völlig ungeschützt sein. Um dieses Problem zu beheben, haben wir Produkte entwickelt, mit denen die Hardware-Uhr mithilfe einer speziellen App synchronisiert werden kann
Unsere ersten Token (
miniOTP-2 und
OTPC-P1 ) mit
Zeitsynchronisierung sind seit Februar 2019 in unserem Online-Shop erhältlich. Die ersten Modelle wurden speziell für Dienste wie DUO oder Okta erstellt, die die RFC-Empfehlungen ignorieren und die nicht automatisch anpassen Zeitdrift.
Uneingeschränkte Zeitsynchronisation
Die Zeitsynchronisierungsfunktion der ersten Modelle mit Zeitsynchronisierung ist nicht eingeschränkt.
Dies bedeutet, dass durch Ändern der Zeit der Token der Startwert nicht geändert wird. Daher besteht ein geringes Risiko für einen Wiederholungsangriff (siehe unten).
WiederholungsangriffsdetailsDas Ändern der Zeit auf einem Hardware-Token ist nicht so einfach wie das Anpassen Ihrer Armbanduhr: Es besteht ein potenzielles Sicherheitsrisiko (TOTP-Code-Wiederholungsangriff), wenn nur die Systemuhr geändert wird. Der Code-Replay-Angriff ist recht einfach zu erklären. Stellen Sie sich vor, ein Benutzer wird angegriffen und der Angreifer hat auch nur für einige Minuten Zugriff auf das Hardware-Token. Wenn wir nur die Zeit ändern dürfen, können die Angreifer die Zeit in der Zukunft einstellen und den vom Token generierten OTP-Code aufschreiben. Dieser Vorgang kann sehr oft wiederholt werden, sodass der Angreifer beispielsweise über 100 OTP-Codes verfügt, die der Token des Opfers zu bestimmten Zeiten in naher (oder ferner) Zukunft anzeigen wird. Erwähnenswert ist, dass das Risiko solcher Angriffe minimal ist und nur durchgeführt werden kann, wenn alle folgenden Bedingungen erfüllt sind:
- Der erste Faktor (Benutzername und Passwort) ist den Angreifern bereits bekannt
- Angreifer haben physischen Zugriff auf das Hardware-Token
- Angreifer können über einen langen Zeitraum diskret über NFC auf das Hardware-Token zugreifen (d. H. 15 bis 20 Minuten sind erforderlich, um die Zeit einzustellen, eine erhebliche Menge zukünftiger OTP-Codes zu generieren und die Zeit zurückzusetzen).
Diese Bedingungen sind relativ schwer zu erfüllen und können mit einer Situation verglichen werden, in der ein Hardware-Token gestohlen wird.
Synchronisierung mit eingeschränkter Zeit
Die neuen Modelle
verfügen über eine zeitlich begrenzte Synchronisierung . Dies bedeutet, dass durch das Einstellen der Zeit der Startwert aus Sicherheitsgründen automatisch gelöscht wird (um das Risiko eines Wiederholungsangriffs zu vermeiden). Aus dem gleichen Grund wird jedoch nicht empfohlen, diese Modelle mit Systemen wie DUO zu verwenden, die keine Zeitdrift unterstützen.
Der Hauptvorteil von Hardware-Token mit zeitlich begrenzter Synchronisierung ist daher die Möglichkeit, sie nach einer langen Zeit bei RFC-kompatiblen Systemen zu registrieren (d. H. Sie können die Token heute kaufen und sich einige Jahre nach Anpassung der Zeit registrieren).
Wie bestelle ich?
Sie können gerne
online bestellen. Verwenden Sie den Promo-Code
HABR201904 , um 5% Rabatt zu erhalten.