Что такое юсб токен. Электронные USB-ключи и смарт-карты eToken
Аналитиков «Лаборатории Касперского», в 2017 году было предпринято более 260 млн попыток фишинговых атак - это один из способов получить все ваши пароли и данные. От этого может не спасти даже двойная аутентификация через СМС или специальное приложение.
График попыток фишинговых атак
Но люди придумали такую штуку, как USB-токен - она лучше защищает ваши данные. Рассказываем, почему этот способ более надежный и как правильно все настроить.
Что это такое и как работает?
USB-токен - небольшое устройство, похожее на обычную флешку. Внутри них специальный уникальный код, заменяющий другие способы двойной аутентификации.
По факту его можно сравнить с ключом от вашей квартиры - если ключ в компьютере, то вы можете войти в свой аккаунт. Только здесь разница в том, что ваш аккаунт гораздо сложнее взломать отмычкой.
Почему это надежнее двойной аутентификации?
Обычная двойная аутентификация работает так: вы вводите пароль от почты, вам по СМС приходит код подтверждения для входа в аккаунт. Получается, что если у злоумышленника нет вашего смартфона, то зайти под вашим логином он не сможет. Но на самом деле это не совсем так.
Почти у всех сервисов с такой функцией злоумышленник может перехватить ваш код от аккаунта из-за общей уязвимости, заключенной в системе SS7. Через нее любой человек может следить за вашим смартфоном - слушать разговоры и читать все сообщения. Операторы эту проблему не признают , хотя ей уже больше 30 лет.
Приложения-аутентификаторы, вроде Google Authentificator, в этом плане надежнее. Для вас каждые 30 секунд генерируется новый пароль - его знают только ваш смартфон и аккаунт в интернете. Но даже так хакеры могут до вас добраться, особенно если вы доверчивый.
Злоумышленник может получить доступ к этим кодам безопасности на этапе настройки приложения . Кроме того, вас могут обмануть и вы зайдете на фальшивый сайт Google, где сами выдадите все пароли хакерам.
Да кто будет пользоваться этими «флешками»?
Все сотрудники из Google этим пользуются и очень довольны. В начале 2017 года все работники корпорации перешли на этот способ аутентификации своих аккаунтов. Как итог - за этот год не произошло ни одной кражи личной информации.
Теперь в Google считают, что USB-токены - самый надежный способ защитить свой аккаунт. Вот так.
Все слишком хорошо! Какие подводные?
Да, подводные камни здесь есть. Пока полноценно эти токены поддерживаются только в двух браузерах - Google Chrome и Opera. В Firefox это реализовали через расширение, а в Edge обещают добавить позже. Разработчики Safari вообще об этой функции ничего не говорят.
И еще один недостаток связан со смартфонами. Чтобы войти в аккаунт на своем Айфоне, вам понадобится ключ с Bluetooth - он стоит немного дороже. Еще можно попробовать переходник, но мы этот способ не проверяли, так что может не сработать.
Это не страшно. Как начать пользоваться ключом?
В первую очередь - вам нужен тот самый USB-токен. Его можно купить в интернете - в России проще всего достать JaCarta U2F. Я купил такой за 1500 рублей.
Так выглядит USB-токен Jakarta U2F
Процедура настройки ключа практически везде одинакова , поэтому мы покажем настройку на примере аккаунта в Google.
1 - Войдите в настройки двойной аутентификации аккаунта. Нажмите на «Выберите другой способ» и выберите там электронный ключ:
2 - Подключать ключ к компьютеру сразу нельзя. Убедитесь, что он у вас в руке и жмите «Далее»:
3 - Вставьте ключ в USB-разъем и нажмите на нем кнопку:
Ключ загорится красным светом, а браузер попросит разрешения на доступ к устройству:
Маленькая черная штучка - кнопка. На нее нужно нажать после подключения ключа
4 - Ваш ключ зарегистрируется и вам нужно будет придумать ему имя:
5 - Готово! Теперь добавьте дополнительные способы входа в аккаунт - через приложение или СМС-код. Это нужно, если вы потеряете свой токен. Но я этого делать не буду.
А теперь небольшой челендж для читателей. Вот все данные аккаунта, на котором я установил свой USB-ключ:
Логин: [email protected]
Пароль: 123456abcd!123456
Если вы сможете войти в этот аккаунт до 15 августа и оставить мне там послание, то я вам перечислю 5 тысяч рублей. Вперед, хакеры!
Расскажу еще об одном механизме аутентификации на web-ресурсах. Механизм прост, в его основе лежит использование ЭЦП, для хранения ключей при этом используется USB-токен.
Основной задачей алгоритмов, описанных в предыдущих статьях, была защита пароля от перехвата и безопасное хранения секрета (например, хеша пароля) в БД сервера. Однако существует еще одна серьезная угроза. Это небезопасная среда в которой мы используем пароли. Программные и аппаратные кейлогеры, шпионское ПО контролирующее формы ввода браузеров, атака MitM, контролирующая не только протокол аутентификации, но и саму структуру html-страницы, на которой вводится пароль, да и просто сосед подсмотревший за вами представляют угрозу, которой никакая схема парольной аутентификации ничего не сможет противопоставить. Эту проблему решили в свое время придумав многофакторную аутентификацию. Суть ее заключается в том, что для успешной аутентификации надо знать секрет и владеть каким-либо предметом (в нашем случае usb-токен и его пин-код).
Вот что предлагают разработчики средств защиты информации.
USB-токен - аппаратное устройство, умеющее формировать ключевую пару и осуществляющее электронную цифровую подпись, для выполнения операций требует ввод пин-кода. При формировании ЭЦП используется криптография на эллиптических кривых. Не требует установки драйверов, определяется как HID-устройство.
Кроссбраузерный плагин - умеет работать с usb-токеном, имеет программный интерфейс доступа к криптографическим функциям. Не требует административных прав для установки.
Предлагаемые компоненты являются своего рода конструктором для встраивания различных криптографических функций в web-приложения. С их помощью можно реализовывать функции шифрования, аутентификации и ЭЦП с высоким уровнем безопасности.
Например, схема аутентификации может выглядеть так.
Регистрация:
- Клиент генерирует в токене ключевую пару e,d ;
- Публичный ключ e клиент отсылает на сервер;
Аутентификация:
- Клиент отсылает серверу логин;
- Сервер генерирует RND и отсылает клиенту;
- Клиент генерирует RND и отсылает серверу подписанное сообщение (RND-server||RND-client||Server-name );
- Сервер проверяет подлинность ЭЦП использую публичный ключ клиента;
Для тех кто с недоверием относится к «велосипедам» - погуглить «ISO public-Key Two-pass Unilateral Authentication Protocol».
Электронные USB-ключи и смарт-карты eToken представляют собой компактные устройства, предназначенные для обеспечения информационной безопасности корпоративных заказчиков и частных пользователей. Подобно Вашему компьютеру, устройства eToken содержат процессор и модули памяти, функционируют под управлением своей операционной системы, выполняют необходимые прикладные программы и хранят Вашу информацию.
USB-ключи и смарт-карты eToken базируются на высокозащищённой платформе, разработанной для производства смарт-карт, - области, в которой традиционно предъявляют повышенные требования к информационной безопасности. Поэтому USB-ключи и смарт-карты eToken фактически являются миниатюрным компьютером, обеспечивающим безопасное хранение Ваших персональных данных и надёжно защищённым от несанкционированного вмешательства.
Компания "Аладдин Р.Д." объявляет о снятии с продаж продуктов линейки eToken
Продукты линейки eToken сняты с продаж с начала 2017 года.
Условия завершения продаж и жизненного цикла изделий линейки eToken PRO (Java), указанные в приведённой ниже таблице, распространяются на все существующие форм-факторы (USB-токен, смарт-карта и пр.). Список включает как несертифицированные, так и сертифицированные изделия. Подробный перечень моделей для всех перечисленных изделий указан в разделе "Артикулы и наименования" .
Модель | Last Time Buy | End of Sale | End of Life |
---|---|---|---|
eToken PRO (Java) | 31 марта 2017 г. | 1 марта 2017 г. | 1 декабря 2020 г. |
eToken NG-FLASH (Java) | |||
eToken NG-OTP (Java) | |||
eToken PRO Anywhere | |||
eToken PASS | |||
eToken 4100 Smartcard | 31 января 2017 г. | 1 февраля 2017 г. | 1 декабря 2020 г. |
eToken 5100/5105 | |||
eToken 5200/5205 | |||
Изделия, содержащие СКЗИ "Криптотокен" (eToken ГОСТ) | 31 августа 2017 г. | 1 декабря 2017 г. | 1 декабря 2018 г. |
Техническая поддержка приобретённых ранее продуктов будет осуществляться до завершения оплаченного периода технической поддержки.
Вместо электронных ключей eToken PRO (Java) и eToken компания "Аладдин Р.Д." предлагает новые отечественные USB-токены, смарт-карты, встраиваемые модули безопасности (чипы), ОТР-токены JaCarta PRO, JaCarta PKI, JaCarta WebPass, разработанные и производимые ею в Российской Федерации.
Замещаемая модель | Замещающая модель | Примечание |
---|---|---|
eToken, eToken PRO (Java) , SafeNet eToken | JaCarta PRO | Совместимая модель |
JaCarta PKI | Функциональный аналог | |
eToken PRO Anywhere | Нет | — |
eToken NG-FLASH (Java) | Следите за анонсами | В 2018 году планируется представить аналогичное изделие в линейке JaCarta |
eToken NG-OTP (Java) | JaCarta WebPass | Функциональный аналог, формирующий значение ОТР и передающий его по USB-порту |
eToken PRO PASS | Нет | — |
Развитие сети интернет и удаленного способа обмена документами с применением электронной подписи потребовал надежной защиты информации. Цифровые носители - дискеты, лазерные диски, флеш-карты - несмотря на возможность их запаролить, не дают надежной гарантии от взлома и несанкционированного копирования.
Законодательное признание электронной подписи идентичной личной подписи на бумажном документе требует серьезного подхода к выбору способа аутентификации владельца конфиденциальной информации.
Преимущества USB-токен JaCarta LT
Сегодня удостоверяющие центры для сохранения секретности электронной подписи используют несколько устройств:
- смарт-карты,
- простые USB-токены,
- USB-токены с встроенным чипом - JaCarta LT,
- ОТР-токены - бесконтактные устройства.
В своей работе наша компания «ИнфоТеКС Интернет Траст» предлагает своим клиентам для хранения электронной подписи USB-токен JaCarta LT, так как данное устройство обладает неоспоримыми преимуществами.
В отличие от простого USB-токена, устройство со встроенным чипом обеспечивает более высокий уровень безопасности. Следует отметить также, что USB-токен JaCarta LT не требует установки дополнительного программного обеспечения. Не менее высокой надежностью обладают смарт-карты, но их использование ограничено. Их применение возможно только при наличии считывающего устройства.
Оптимальную защиту предоставляют также бесконтактные токены, для работы которых не требуется соединения с компьютером. Аутентификация владельца происходит по соответствующему серверу. К минусам бесконтактного устройства относят короткий срок его эксплуатации. Срок службы составляет всего 3-4 года, что соответствует жизнеспособности дорогостоящей аккумуляторной батареи. И только USB-токен JaCarta LT имеет неограниченный срок эксплуатации, не требует установки дополнительных программ и не зависит от наличия считывающих устройств. А самое главное, встроенный микропроцессор обеспечивает максимальную защиту и гарантирует полную конфиденциальность информации.
Технические характеристики USB-токен JaCarta LT
Устройство представляет собой USB-брелок черного цвета, выполненный в мини или стандартном формате. Имеет небольшую встроенную память (72 КБ), так как основное назначение USB-токена JaCarta LT - это хранение криптографических ключей. Устройство основано на методе двухфакторной аутентификации. Первым аутентификатором является наличие пароля-доступа к самому устройству. При получении токена в удостоверяющем центре по умолчанию установлен пароль 1234567890, который мы настоятельно рекомендуем сменить при первой работе с устройством.
Второй аутентификатор - это встроенный чип AT90SC25672RCT, запатентованный компанией Aladdin Knowledge Systems. Предусмотрено до 500000 циклов перезаписи. Токен JaCarta LT совместим с операционными системами Windows, Linux, Mac OX. Подходит для работы с мобильными устройствами.
Уровень безопасности USB-токена JaCarta LT подтвержден Сертификатом соответствия ФСТЭК РФ № 2799 и Сертификатом соответствия ФСБ РФ № СФ/124-2380 (СКЗИ класса КС2). Устройство содержит полный набор функций для беспроблемной работы с криптографическими программами.
Сертификат ФСТЭК
Наличие Сертификата подтверждает, что USB-токен JaCarta LT обладает необходимой безопасностью хранения информации и предназначен для аутентификации пользователя в соответствии с требованиями Классификации Информационных Систем Данных класса 1 (ИСПДн К1). Токен JaCarta полностью удовлетворяет требованиям нормативного документа «Защита от несанкционированного доступа к информации» части 1 «Программное обеспечение средств защиты информации». Исследования ПО проводились испытательной лабораторией ОАО «СИНКЛИТ» под контролем ЗАО «Научно-производственное объединение «Эшелон».