हम एक छोटे कार्ड (
miniOTP-3 ) और एक
कीफोब फॉर्म-फैक्टर (
C301 ) दोनों में प्रोग्राम करने योग्य TOTP टोकन के दो नए मॉडल की घोषणा करने में प्रसन्न हैं, अब
प्रतिबंधित समय सिंक के साथ ।
टोकन 2 के बारे मेंTOKEN2 मल्टीफॉर्मर प्रमाणीकरण उत्पादों और सेवाओं लिमिटेड (संक्षिप्त नाम TOKEN2) एक बहुराष्ट्रीय आईटी सुरक्षा कंपनी है जिसका मुख्यालय वर्सोक्स, स्विटजरलैंड में है, जो विभिन्न सुरक्षा समाधान प्रदान करती है, जैसे कि हार्डवेयर टोकन, एक मोबाइल एप्लिकेशन, TOTPADADius सर्वर और टोकेन 2 क्लाउड एपीआई (दो-कारक प्रमाणीकरण) सेवा के रूप में)
बहु-कारक प्रमाणीकरण क्या है?बहु-कारक प्रमाणीकरण वर्तमान में मजबूत सुरक्षा की आवश्यकता वाले सिस्टम के लिए वास्तविक मानकों में से एक है। ज्यादातर मामलों में, मल्टी-फैक्टर प्रमाणीकरण बल्कि जटिल है और बहुत उपयोगकर्ता के अनुकूल नहीं है, क्योंकि इसके लिए अतिरिक्त चरणों की आवश्यकता होती है, जहां तक एंड-यूज़र्स का संबंध है: जैसे कि दो-कारक प्रमाणीकरण के साथ, उपयोगकर्ता नाम और पासवर्ड दर्ज करने के अलावा (आमतौर पर पहले कारक के रूप में माना जाता है), उपयोगकर्ताओं को मैन्युअल रूप से एक अतिरिक्त कोड (दूसरा कारक) दर्ज करने की आवश्यकता होती है जो वे या तो पाठ संदेशों द्वारा प्राप्त करते हैं, पासवर्ड की पहले से मुद्रित सूची में देखते हैं या हार्डवेयर या सॉफ़्टवेयर टोकन द्वारा उत्पन्न होते हैं।
समय सिंक महत्वपूर्ण क्यों है?TOTP हार्डवेयर टोकन के लिए औसत समय बहाव प्रति वर्ष 2 मिनट तक हो सकता है ... समय की अवधि (अर्थात 2-2 वर्ष) के बाद, कुछ टोकन वैश्विक सिंक्रनाइज़ेशन विंडो के बाहर बहाव कर सकते हैं। एक टोकन जिसे बहुत बार उपयोग नहीं किया जाता है वह एक प्रमाणीकरण सर्वर का उपयोग कर रहे सिंक्रनाइज़ेशन विंडो से भी अधिक बहाव की संभावना है। इसके अलावा, संगठन हार्डवेयर टोकन का एक बड़ा स्टॉक रखने से डरते हैं: एक टोकन जिसका उपयोग बिल्कुल नहीं किया गया है, उसकी बैटरी लगभग नई जैसी होगी, लेकिन समय-समय पर टोकन का उपयोग करने की अनुमति नहीं दी जाएगी, जो इस तरह के निवेश का कारण बनता है पूरी तरह से असुरक्षित हो। इस समस्या को हल करने के लिए, हमने ऐसे उत्पाद विकसित किए हैं जो एक विशेष ऐप का उपयोग करके हार्डवेयर घड़ी को सिंक करने की अनुमति देते हैं
फरवरी 2019 से हमारी पहली दुकान पर समय सिंक के साथ हमारे पहले टोकन (
miniOTP-2 और
OTPC- P1 ) उपलब्ध हैं, पहला मॉडल विशेष रूप से DUO या ओक्टा जैसी सेवाओं के लिए बनाया गया है, जो RFC सिफारिशों की अनदेखी कर रहे हैं और स्वचालित रूप से समायोजित नहीं कर रहे हैं समय बहाव।
अप्रतिबंधित समय सिंक
टाइम सिंक के साथ पहले मॉडल की टाइम सिंक सुविधा
अप्रतिबंधित है , जिसका अर्थ है कि टोकन के समय को संशोधित करने से बीज का मूल्य नहीं बदलेगा, इसलिए नीचे वर्णित रिप्ले हमले का एक छोटा जोखिम है।
रिप्ले हमले का विवरणहार्डवेयर टोकन पर समय बदलना आपकी कलाई घड़ी को समायोजित करने जितना आसान नहीं है: एक संभावित सुरक्षा जोखिम (TOTP कोड रिप्ले हमला) है अगर यह केवल सिस्टम घड़ी है जिसे बदला जा रहा है। कोड रीप्ले अटैक समझाने में काफी आसान है। एक उपयोगकर्ता के हमले के अधीन होने की कल्पना करें और हमलावर के पास हार्डवेयर टोकन तक पहुंच है, यहां तक कि केवल कुछ मिनटों के लिए। यदि हम केवल समय बदलने की अनुमति देते हैं, तो हमलावर भविष्य में समय निर्धारित कर सकते हैं और ओटीपी कोड टोकन जेनरेट लिख सकते हैं। इस प्रक्रिया को कई बार दोहराया जा सकता है, इसलिए हमलावर के पास, 100 OTP कोड होंगे, जो पीड़ित के टोकन को निकट या (भविष्य में) निश्चित समय पर प्रदर्शित करेगा। इस बीच, यह उल्लेखनीय है कि इस तरह के हमलों का जोखिम कम से कम है और केवल तभी किया जा सकता है जब निम्नलिखित सभी शर्तें पूरी हों:
- पहला कारक (उपयोगकर्ता नाम और पासवर्ड) पहले से ही हमलावरों द्वारा जाना जाता है
- हमलावरों के पास हार्डवेयर टोकन तक भौतिक पहुंच है
- हमलावर एनएफसी पर लंबे समय तक हार्डवेयर टोकन का उपयोग कर सकते हैं (यानी, समय निर्धारित करने के लिए 15-20 मिनट की आवश्यकता होती है, भविष्य में महत्वपूर्ण ओटीपी कोड उत्पन्न करते हैं और समय वापस सेट करते हैं)।
इन शर्तों को पूरा किया जाना अपेक्षाकृत कठिन है और उनकी तुलना उस स्थिति से की जा सकती है, जहां एक हार्डवेयर टोकन चोरी हो जाता है।
प्रतिबंधित समय सिंक
नए मॉडल
प्रतिबंधित समय सिंक के साथ हैं, जिसका अर्थ है कि समय निर्धारित करने से सुरक्षा उद्देश्यों के लिए बीज स्वतः साफ़ हो जाएगा (रिप्ले हमले के जोखिम से बचने के लिए)। उसी कारण से, हालांकि, इन मॉडलों को सिस्टम के साथ उपयोग करने की अनुशंसा नहीं की जाती है, जो समय के बहाव का समर्थन नहीं करते हैं, जैसे कि DUO।
तो, प्रतिबंधित समय सिंक के साथ हार्डवेयर टोकन का मुख्य लाभ उन्हें लंबी अवधि के बाद आरएफसी-अनुरूप प्रणालियों में नामांकित करने की संभावना है (यानी आप आज टोकन खरीद सकते हैं, और समय को समायोजित करने के बाद कुछ वर्षों में नामांकन कर सकते हैं)।
कैसे करें ऑर्डर?
ऑनलाइन ऑर्डर करने के लिए स्वतंत्र महसूस करें। 5% छूट पाने के लिए प्रोमो कोड
HABR201904 का उपयोग करें।