Temos o prazer de anunciar dois novos modelos de tokens TOTP programáveis, tanto em uma placa pequena (
miniOTP-3 ) quanto em um fator de forma de chaveiro (
C301 ), agora com
sincronização de tempo restrita .
Sobre o Token2Os produtos e serviços de autenticação multifatorial TOKEN2 LTD (nome curto TOKEN2) são uma empresa multinacional de segurança de TI sediada em Versoix, Suíça, fornecendo várias soluções de segurança, como tokens de hardware, um aplicativo móvel, servidor TOTPRadius e Token2 Cloud API (autenticação de dois fatores) como serviço)
O que é autenticação multifatorial?Atualmente, a autenticação multifator é um dos padrões de fato para sistemas que exigem segurança forte. Na maioria dos casos, a autenticação multifator é bastante complexa e pouco amigável, pois requer etapas adicionais no que diz respeito aos usuários finais: por exemplo, com autenticação de dois fatores, além de inserir um nome de usuário e uma senha (geralmente considerado como primeiro fator), os usuários precisam digitar manualmente um código adicional (segundo fator) que recebem por mensagens de texto, procurar em uma lista de senhas impressa anteriormente ou gerada por um token de hardware ou software.
Por que a sincronização de horário é importante?O tempo médio de desvio dos tokens de hardware TOTP pode ser de até 2 minutos por ano ... Após um período de tempo (por exemplo, 1 a 2 anos), alguns dos tokens podem ser desviados para fora da janela de sincronização global. Um token que não é usado com muita frequência provavelmente passará ainda mais além da janela de sincronização que um servidor de autenticação está usando. Além disso, as organizações têm medo de manter um grande estoque de tokens de hardware: um token que não é usado terá sua bateria quase como nova, mas o desvio de tempo não permitirá o uso do token, o que causa esses investimentos. estar completamente desprotegido. Para solucionar esse problema, desenvolvemos produtos que permitem sincronizar o relógio do hardware usando um aplicativo especial
Nossos primeiros tokens (
miniOTP-2 e
OTPC-P1 ) com sincronização de horário estão disponíveis em nossa loja on-line desde fevereiro de 2019, os primeiros modelos são criados especificamente para serviços como DUO ou Okta, que ignoram as recomendações RFC e não ajustam automaticamente o desvio do tempo.
Sincronização de tempo irrestrita
O recurso de sincronização de tempo dos primeiros modelos com sincronização de tempo é
irrestrito , o que significa que a modificação do tempo dos tokens não alterará o valor inicial, portanto, há um pequeno risco de um ataque de repetição, descrito abaixo.
Repetir detalhes do ataqueAlterar a hora em um token de hardware não é tão simples como ajustar seu relógio de pulso: há um risco potencial de segurança (ataque de repetição de código TOTP) se apenas o relógio do sistema estiver sendo alterado. O ataque de repetição de código é bastante fácil de explicar. Imagine um usuário sendo atacado e o invasor tenha acesso ao token de hardware, mesmo por apenas alguns minutos. Se permitirmos alterar apenas a hora, os invasores poderão definir a hora no futuro e anotar o código OTP gerado pelo token. Esse processo pode ser repetido um número significativo de vezes, portanto, o invasor teria, digamos, 100 códigos OTP que o token da vítima exibirá em determinados momentos no futuro próximo (ou distante). Enquanto isso, vale ressaltar que o risco de tais ataques é mínimo e só pode ser realizado se todas as seguintes condições forem atendidas:
- O primeiro fator (nome de usuário e senha) já é conhecido pelos atacantes
- Os invasores têm acesso físico ao token de hardware
- Os invasores podem acessar discretamente o token de hardware pela NFC por um longo período de tempo (ou seja, são necessários 15 a 20 minutos para definir o tempo, gerar uma quantidade significativa de futuros códigos OTP e atrasar o tempo).
Essas condições são relativamente difíceis de serem atendidas e podem ser comparadas a uma situação em que um token de hardware é roubado.
Sincronização de tempo restrito
Os novos modelos estão com
sincronização de tempo restrita , o que significa que definir o horário limpará automaticamente a semente por motivos de segurança (para evitar o risco de um ataque de repetição). Pelo mesmo motivo, no entanto, esses modelos não são recomendados para uso em sistemas que não suportam desvio de tempo, como o DUO.
Portanto, a principal vantagem dos tokens de hardware com sincronização de tempo restrita é a possibilidade de registrá-los em sistemas compatíveis com RFC após um longo período (ou seja, você pode comprar os tokens hoje e se inscrever alguns anos depois de ajustar o tempo).
Como encomendar?
Sinta-se livre para fazer um pedido
on-line . Use o código promocional
HABR201904 para obter um desconto de 5%.