Cu totii cunoastem sistemele de two-step-authentication prezente pe la toate serviciile online din lumea moderna. Acestea ofera un grad mai inalt de securitate pentru utilizatorii care nu vor sa riste compromiterea conturilor si a datelor personale stocate pe diferite platforme.
Aceste sisteme folosesc diferite metode de verificare, de la mesaje trimise prin SMS, pana la aplicatii care permit generarea unor coduri pe durata determinata pe un dispozitiv diferit de cel de unde se acceseaza serviciul dorit.
Cu toata aceasta siguranta, exista totusi si alte solutii pentru securizarea unor astfel de sisteme, solutii folosite in majoritate de companii si activitati unde limitarea accesului si asigurarea unui strat suplimentar de siguranta este absolut necesar. Evident, in acest caz, nu mai vorbim de aplicatii si mesaje, dar trecem in lumea fizica si discutam despre autentificarea hardware.
Tipuri de autentificare:
Inainte sa intram in zona de hardware, este important sa intelegem diferentele esentiale dintre diferiti factori de autentificare existenti pe piata. Acestia abordeaza diferit autentificarea securizata, bazate pe diferitele tehnologii utilizate. In acest sens, avem 3 factori diferiti de autentificare:
- Factori bazati pe ce cunosti
- Factori bazati pe ce ai
- Factori bazati pe ce esti
Factori bazati pe ce cunosti:
Acesti factori pun baza pe cunostinte comune, alese de utilizatori. Fie ca e vorba de verificarea logarii cu o parola, un PIN, un desen, un cod prin SMS, aceste metode sunt libere pentru personalizare de catre utilizator. Acestea compunand cea mai simpla metoda de autentificare, este totodata si cea mai usoara de spart. Tocmai pentru a contracara acest risc, serviciile existente recomanda parole puternice, actualizarea sau confirmarea ocazionala a metodelor de recuperare sau confirmarea prin diferite cai a acceptului de a accesa serviciile mentionate.
Factori bazati pe ce esti:
Metodele de autentificare biometrice sunt cele care pun baza acestui factor de autentificare. Bazate pe constructia clientului, de la ochi pana la trasaturile faciale si amprente, acestea sunt cele mai puternice tipuri de autentificare dar in acelas timp si cele mai predispuse la erori. Aceste erori se claseaza in doua tipuri diferite. Erorile de TIP 1 se refera la imposibilitatea autentificarii unui utilizator adevarat, aceste erori aparand la nivelul sistemului de autentificare, fie ca este o eroare fizica sau de sistem. Al doilea tip de erori sunt erorile de TIP 2, acestea facand referire la autentificarea eronata a unei persoane care nu are permisiunile necesare. Motivele sunt asemenea celor mentionate la primul tip de erori si in timp ce aceste metode de autentificare ofera un nivel de sensitivitate a detectiei, astfel de modificari afecteaza si si nivelul de securitate existent.
Factori bazati pe ce ai:
Piesa de baza a autentificarii bazate pe hardware. Fie ca e vorba de o cartela, un token sau un alt tip de dispozitiv, autentificarea hardware este configurata pentru usoara si rapida autentificare a angajatului la un sistem care contine date critice. Sisteme precum token-urile vin in diferite forme si folosesc metode de autentificare, de la parole statice care sunt transmise fara ca utilizatorul sa le vada, pana la parole asincrone sau sincrone care sunt valabile pentru un timp limitat.
Acesti factori de autentificare sunt in mare parte din situatii bazati pe asistenta unor alti factori, precum o parola sau un pin pe care doar utilizatorul real al dispozitivului de logare il cunoaste.
Aceste metode de autentificare pot fi foarte usor dezactivate, situatie in care ele nu se mai pot conecta la sistemele de autentificare .
Pro si contra diferitelor tipuri de autentificare hardware
U2F Token
- Un modul hardware (USB) care contine o cheie este introdusa in laptop
- Logarea se face pe o platforma si serverul trimite un mesaj de confirmare pe USB
- USB-ul confirma mesajul si serverul deblocheaza functionalitatile
PRO:
- Nu este nevoie de internet
- Usor de folosit
CON:
- Nu sunt suportate pe multe platforme
- Multe companii blocheaza operationile cu USB
- Dispozitivele se pot utiliza pentru un numar mic de cereri de autentificare (1-2 cereri diferite)
- Scumpe, pretul unui singur dispozitiv incepand de la ~20$
- Este foarte usor sa fie uitat intr-un PC
Token Card Contactless
PRO:
- Nu se conecteaza la niciun dispozitiv
- Sunt invulnerabile la un furt de SIM sau de cheie de acces
- Bateria care poate sa stea alimentata pentru mai multi ani
- Nu au nevoie de conexiune la retea
CON:
- Daca este compromis, trebuie comandat un inlocuitor
- Daca nu mai este folosit cu un serviciu, valoarea lui nu se poate utiliza cu un alt sistem
- Sunt necesare multiple card-uri pentru multiple conturi
Token Hardware Programabil
PRO:
- Se poate utiliza pe multiple platforme, avand in vedere faptul ca se poate reseta, comparativ cu varianta mentionata anterior
- Securitate avansata, datorita invulnerabilitatii la virusi si injectare de mallware
- Contactless
- Versatil, avand totodata un pret redus
CONS:
- Baterie de circa 5 ani, dupa care trebuie inlocuit cu totul
- Restrictii mari legate de setarea parolelor, acestea avand o lungime intre 16 si 32 de caractere, encodate in Base32
Surse:
- https://www.pearsonitcertification.com/articles/article.aspx?p=1718488
- https://en.wikipedia.org/wiki/Security_token
- https://www.protectimus.com/blog/two-factor-authentication-types-and-methods/
- https://www.sciencedirect.com/topics/computer-science/hardware-token
- https://www2.gemalto.com/email/2011/AuthenticationNurture/pdf/Authentication_Decision%20Guide%20(EN)%20A4-910_web.pdf