Token (seguretat)

De la Viquipèdia, l'enciclopèdia lliure.
Saltar a la navegació Saltar a la cerca
Token de seguretat RSA
Testimoni VeriSign

Un testimoni de seguretat (de l'anglès: token, o token - el dels jocs enllaçats) també anomenat hardware token , token d'autenticació , to criptogràfic o simplement token , és un objecte físic necessari per a una autenticació forta , anomenat de dos factors [1] .

Sovint es presenta en forma d'un petit dispositiu electrònic portàtil, alimentat per una bateria amb autonomia en l'ordre d'uns pocs anys, equipat amb una pantalla i, de vegades un numèric teclat. Alguns tokens es poden connectar a un ordinador mitjançant un port USB per facilitar l'intercanvi de dades [2] .

També pot ser del tipus de programari , on la informació necessària resideix directament a l'ordinador de l'usuari o en una aplicació de telèfon i no en un objecte físic extern. De vegades, el testimoni no es necessita tant per autenticar-se a l’aplicació ( inici de sessió ) com per dur a terme transaccions / operacions o les anomenades disposicions .

Operació

Un símbol és un generador de codis numèrics pseudoaleatoris a intervals regulars (en l'ordre d'unes poques desenes de segons) d'acord amb un algoritme que, entre altres factors, té en compte el pas de el temps gràcies a un rellotge intern. Altres factors que afecten l'algorisme poden ser el número de sèrie del testimoni o altres elements associats al titular en el moment del lliurament del testimoni .

El mateix algorisme també s’implementa en un servidor d’ autenticació, que inicialment es sincronitzava amb el testimoni [3] i que, per tant, genera la mateixa seqüència de nombres pseudoaleatoris del testimoni en els mateixos moments, tot i que no hi ha comunicació entre els dos objectes. .

Aquest número, aleatori i transitori, es combina amb un PIN conegut per l'usuari i el sistema d'autenticació per generar una contrasenya temporal o sessió (OTP-one-time password), que es pot utilitzar per realitzar l'autenticació en l'interval de temps límit. La contrasenya de la sessió consta de PIN (fix) + codi numèric (temporal) que mostra el testimoni.

Com a resultat, la contrasenya temporal per a l'autenticació serà diferent en diferents hores del mateix dia.

L’autenticació de dos factors es deu al fet que, per generar la contrasenya temporal correcta, és necessari:

  • posseeix el testimoni específic que, en un instant donat, genera el mateix número pseudoreator que genera el servidor d'autenticació;
  • conèixer el PIN amb què s’ha de combinar el número.

Atès que la contrasenya temporal caduca al cap de poques desenes de segons, qualsevol persona que vulgui incomplir la seguretat no només hauria d’endevinar la vàlida per a un moment concret, sinó que també l’hauria d’utilitzar abans que caduqui. Per aquest motiu, un testimoni augmenta significativament els estàndards de seguretat. Si l’hacker volgués tenir més temps per incomplir la seguretat hauria de descobrir l’algoritme, que li permetria regenerar contínuament la contrasenya temporal. Tanmateix, aquests algoritmes tenen un nivell de complexitat molt alt, cosa que dificulta el desxifratge fins i tot dels ordinadors més potents del món.

Altres usos

De vegades, els dispositius de maquinari per a la identificació o accés / consentiment (format de targeta, clau, testimoni [4] , etc.), especialment si són del tipus transpondedor , programables o no, s’anomenen fitxes o etiquetes però no són generadors de codis temporals en el sentit de dalt. Els usuaris els utilitzen, de fet, per al control d’accés / assistència o aplicacions similars i poden estar associades o no a contrasenyes o PIN personals.

Fitxes virtuals

Els tokens virtuals són identificadors que s’utilitzen amb la mateixa funció que els físics. Exemples de fitxes virtuals són els codis QR impresos a les entrades / rebuts o que es mostren a les pantalles de dispositius mòbils (per exemple, telèfons intel·ligents) o ordinadors de sobretaula (televisors, ordinadors, etc.).

Les fitxes virtuals també poden estar sense un signe gràfic, és a dir, poden ser purament components de programari (serveis), com, per exemple, fitxes compatibles amb certificats digitals.

Nota

  1. ^ La contrasenya ja no és suficient, arriba el testimoni a Il Sole 24 ORE . Consultat el 18 de maig de 2018 .
  2. ^ Què és el testimoni i per a què serveix , a Fastweb.it . Consultat el 18 de maig de 2018 .
  3. ^ La sincronització és possible, ja que cada testimoni individual s'identifica de manera única mitjançant un número de sèrie (número de sèrie) posat per l'emissor.
  4. ^ Alguns fabricants parlen de fitxes que només signifiquen suports físics en forma de fitxes.

Articles relacionats

Altres projectes

Seguretat informàtica Portal de seguretat informàtica : accediu a les entrades de Wikipedia relacionades amb la seguretat informàtica