Kami senang mengumumkan dua model baru token TOTP yang dapat diprogram, baik dalam kartu kecil (
miniOTP-3 ) dan dalam faktor bentuk keyfob (
C301 ), sekarang dengan
sinkronisasi waktu terbatas .
Tentang Token2TOKEN2 Multifaktor produk dan layanan otentikasi LTD (nama pendek TOKEN2) adalah perusahaan keamanan TI multinasional yang berkantor pusat di Versoix, Swiss, menyediakan berbagai solusi keamanan, seperti token perangkat keras, aplikasi mobile, server TOTPRadius, dan Token2 Cloud API (otentikasi dua faktor) sebagai layanan)
Apa itu otentikasi multi-faktor?Otentikasi multi-faktor saat ini merupakan salah satu standar de-facto untuk sistem yang membutuhkan keamanan yang kuat. Dalam sebagian besar kasus, otentikasi multi-faktor agak rumit dan tidak ramah-pengguna, karena memerlukan langkah-langkah tambahan sejauh menyangkut pengguna akhir: misalnya dengan otentikasi dua faktor, selain memasukkan nama pengguna dan kata sandi (biasanya dianggap sebagai faktor pertama), pengguna perlu secara manual memasukkan kode tambahan (faktor kedua) yang mereka terima melalui pesan teks, mencari di daftar kata sandi yang dicetak sebelumnya atau dihasilkan oleh token perangkat keras atau perangkat lunak.
Mengapa sinkronisasi waktu itu penting?Penyimpangan waktu rata-rata untuk token perangkat keras TOTP mungkin hingga 2 menit per tahun ... Setelah jangka waktu tertentu (yaitu 1-2 tahun), beberapa token dapat melayang di luar jendela sinkronisasi global. Token yang tidak sering digunakan cenderung melayang lebih jauh dari jendela sinkronisasi yang digunakan server otentikasi. Selain itu, organisasi takut menyimpan stok token perangkat keras yang besar: token yang tidak digunakan sama sekali akan memiliki baterainya hampir seperti baru, tetapi penyimpangan waktu tidak akan memungkinkan menggunakan token sama sekali, yang menyebabkan investasi seperti itu terjadi. sepenuhnya tidak terlindungi. Untuk mengatasi masalah ini, kami telah mengembangkan produk yang memungkinkan sinkronisasi jam perangkat keras menggunakan aplikasi khusus
Token pertama kami (
miniOTP-2 dan
OTPC-P1 ) dengan sinkronisasi waktu tersedia di toko online kami sejak Februari 2019, model pertama dibuat khusus untuk layanan seperti DUO atau Okta, yang mengabaikan rekomendasi RFC dan tidak secara otomatis menyesuaikan waktu melayang.
Sinkronisasi waktu tidak terbatas
Fitur sinkronisasi waktu model pertama dengan sinkronisasi waktu tidak
dibatasi , artinya memodifikasi waktu token tidak akan mengubah nilai seed, oleh karena itu ada risiko kecil serangan replay, dijelaskan di bawah ini.
Putar ulang detail seranganMengubah waktu pada token perangkat keras tidak sesederhana menyesuaikan jam tangan Anda: ada risiko keamanan potensial (serangan replay kode TOTP) jika hanya jam sistem yang diubah. Serangan replay kode cukup mudah dijelaskan. Bayangkan seorang pengguna diserang dan penyerang memiliki akses ke token perangkat keras, bahkan untuk beberapa menit saja. Jika kami mengizinkan perubahan waktu saja, penyerang dapat mengatur waktu di masa depan dan menuliskan kode OTP yang dihasilkan token. Proses ini dapat diulang beberapa kali secara signifikan, sehingga penyerang akan, katakanlah, 100 kode OTP bahwa token korban akan ditampilkan pada waktu tertentu dalam waktu dekat (atau jauh) di masa depan. Sementara itu, layak disebutkan bahwa risiko serangan tersebut minimal dan dapat dilakukan hanya jika semua kondisi berikut terpenuhi:
- Faktor pertama (nama pengguna dan kata sandi) sudah diketahui oleh para penyerang
- Penyerang memiliki akses fisik ke token perangkat keras
- Penyerang dapat secara diam-diam mengakses token perangkat keras melalui NFC untuk jangka waktu yang lama (mis. 15-20 menit diperlukan untuk mengatur waktu, menghasilkan sejumlah besar kode OTP di masa depan dan mengatur waktu kembali).
Kondisi ini relatif sulit untuk dipenuhi dan dapat dibandingkan dengan situasi di mana token perangkat keras dicuri.
Sinkronisasi waktu terbatas
Model-model baru dengan
sinkronisasi waktu terbatas , yang berarti bahwa pengaturan waktu akan secara otomatis menghapus benih untuk tujuan keamanan (untuk menghindari risiko serangan replay). Namun, untuk alasan yang sama, model ini tidak direkomendasikan untuk digunakan dengan sistem yang tidak mendukung penyimpangan waktu, seperti DUO.
Jadi, keuntungan utama token perangkat keras dengan sinkronisasi waktu terbatas adalah kemungkinan mendaftarkannya ke sistem yang sesuai dengan RFC setelah jangka waktu yang lama (mis. Anda dapat membeli token hari ini, dan mendaftar dalam beberapa tahun setelah menyesuaikan waktu).
Bagaimana cara memesan?
Jangan ragu untuk melakukan pemesanan
secara online . Gunakan kode promo
HABR201904 untuk mendapatkan diskon 5%.