Nous sommes heureux d'annoncer deux nouveaux modèles de jetons TOTP programmables, à la fois dans une petite carte (
miniOTP-3 ) et dans un facteur de forme de porte-clés (
C301 ), maintenant avec
une synchronisation temporelle limitée .
À propos de Token2TOKEN2 Multifactor authentication products and services LTD (nom abrégé TOKEN2) est une société multinationale de sécurité informatique dont le siège est à Versoix, en Suisse, qui fournit diverses solutions de sécurité, telles que des jetons matériels, une application mobile, un serveur TOTPRadius et Token2 Cloud API (authentification à deux facteurs) en tant que service)
Qu'est-ce que l'authentification multifacteur?L'authentification multifacteur est actuellement l'une des normes de facto pour les systèmes nécessitant une sécurité élevée. Dans la plupart des cas, l'authentification multifacteur est plutôt complexe et peu conviviale, car elle nécessite des étapes supplémentaires en ce qui concerne les utilisateurs finaux: par exemple avec une authentification à deux facteurs, en plus de saisir un nom d'utilisateur et un mot de passe (généralement considéré comme un premier facteur), les utilisateurs doivent saisir manuellement un code supplémentaire (deuxième facteur) qu'ils reçoivent soit par SMS, soit dans une liste de mots de passe préalablement imprimée, soit généré par un jeton matériel ou logiciel.
Pourquoi la synchronisation de l'heure est-elle importante?La dérive de temps moyenne pour les jetons matériels TOTP peut aller jusqu'à 2 minutes par an ... Après une période de temps (c'est-à-dire 1 à 2 ans), certains des jetons peuvent dériver en dehors de la fenêtre de synchronisation globale. Un jeton qui n'est pas utilisé très souvent risque de dériver encore plus au-delà de la fenêtre de synchronisation utilisée par un serveur d'authentification. De plus, les organisations ont peur de conserver un stock important de jetons matériels: un jeton qui n'est pas utilisé du tout aura sa batterie presque comme neuve, mais la dérive temporelle ne permettra pas du tout d'utiliser le jeton, ce qui entraîne de tels investissements pour être complètement non protégé. Pour résoudre ce problème, nous avons développé des produits qui permettent de synchroniser l'horloge matérielle à l'aide d'une application spéciale
Nos premiers jetons (
miniOTP-2 et
OTPC-P1 ) avec synchronisation horaire sont disponibles sur notre boutique en ligne depuis février 2019, les premiers modèles sont créés spécifiquement pour des services comme DUO ou Okta, qui ignorent les recommandations RFC et ne règlent pas automatiquement le dérive du temps.
Synchronisation de temps illimitée
La fonction de synchronisation temporelle des premiers modèles avec synchronisation temporelle n'est pas
limitée , ce qui signifie que la modification de l'heure des jetons ne changera pas la valeur de départ, il existe donc un petit risque d'attaque de relecture, décrit ci-dessous.
Rejouer les détails de l'attaqueChanger l'heure sur un jeton matériel n'est pas aussi simple que d'ajuster votre montre-bracelet: il y a un risque potentiel de sécurité (attaque de rejeu de code TOTP) si ce n'est que l'horloge système qui est modifiée. L'attaque de rejeu de code est assez facile à expliquer. Imaginez qu'un utilisateur soit attaqué et que l'attaquant ait accès au jeton matériel, même pendant quelques minutes seulement. Si nous autorisons uniquement la modification de l'heure, les attaquants peuvent définir l'heure à l'avenir et noter le code OTP généré par le jeton. Ce processus peut être répété un nombre important de fois, donc l'attaquant aurait, disons, 100 codes OTP que le jeton de la victime affichera à certains moments dans un avenir proche (ou lointain). En attendant, il convient de mentionner que le risque de telles attaques est minime et ne peut être effectué que si toutes les conditions suivantes sont remplies:
- Le premier facteur (nom d'utilisateur et mot de passe) est déjà connu des attaquants
- Les attaquants ont un accès physique au jeton matériel
- Les attaquants peuvent accéder discrètement au jeton matériel via NFC pendant une longue période (c'est-à-dire que 15 à 20 minutes sont nécessaires pour régler l'heure, générer une quantité importante de futurs codes OTP et redéfinir l'heure).
Ces conditions sont relativement difficiles à remplir et peuvent être comparées à une situation où un jeton matériel est volé.
Synchronisation temporelle restreinte
Les nouveaux modèles sont dotés d'
une synchronisation temporelle limitée , ce qui signifie que le réglage de l'heure effacera automatiquement la graine à des fins de sécurité (pour éviter le risque d'une attaque de relecture). Pour la même raison, cependant, il n'est pas recommandé d'utiliser ces modèles avec des systèmes ne prenant pas en charge la dérive temporelle, tels que DUO.
Ainsi, le principal avantage des jetons matériels avec une synchronisation temporelle limitée est la possibilité de les inscrire sur des systèmes compatibles RFC après une longue période (c'est-à-dire que vous pouvez acheter les jetons aujourd'hui et vous inscrire quelques années après avoir ajusté l'heure).
Comment passer commande?
N'hésitez pas à passer une commande en
ligne . Utilisez le code promo
HABR201904 pour obtenir une remise de 5%.