Publicité
Les jetons à mot de passe unique (OTP) sont généralement considérés comme le nec plus ultra en matière de sécurité de connexion des consommateurs. Ils sont un élément clé de l'utilisation d'un Authentification à deux facteurs système qui augmente considérablement la sécurité d'une connexion à partir d'un système à facteur unique typique de nom d'utilisateur / mot de passe.
Le système de sécurité par nom d'utilisateur / mot de passe est considéré comme très peu sûr pour un certain nombre de raisons, notamment la facilité de reniflage de paquets ou de touches, les attaques de phishing et d'autres problèmes d'ingénierie sociale. Les schémas d'authentification à deux facteurs ajoutent une autre couche de sécurité en demandant à un utilisateur d'en récupérer une autre mot de passe à partir d'une source hors bande telle qu'un appareil générateur de mot de passe (comme un jeton OTP) ou SMS texte.
Étant donné que ce mot de passe change constamment à intervalles réguliers - il est presque impossible pour un pirate potentiel de voler votre nom d'utilisateur et votre mot de passe et de vous connecter sans avoir ce jeton.
Ces jetons sont généralement payants car ils sont un appareil physique, mais avec l'augmentation récente des applications disponible pour les appareils mobiles, de nombreux fournisseurs d'OTP proposent désormais des applications gratuites qui remplacent dispositif.
Voici quelques-uns des générateurs de mots de passe les plus populaires que j'ai rencontrés et des exemples de captures d'écran d'eux en action:
Accès VeriSign Identity Protection (VIP) pour mobile
Verisign est l'un des plus grands fournisseurs de jetons physiques à mot de passe unique. Leurs jetons matériels sont peu coûteux pour l'utilisateur final et sont utilisables dans un certain nombre de sites en ligne populaires, notamment eBay, SalesForce, Box.net, Paypal et plus encore. Vous pouvez commander une clé à faible coût (5 $) auprès de Paypal ou, comme je l'ai récemment découvert, télécharger une application gratuite pour appareil mobile.
Verisign propose des logiciels pour une grande variété d'appareils mobiles, y compris iPhone, Android, Windows Mobile, Blackberry et plus encore. Téléchargez simplement le logiciel et exécutez le programme générateur de mot de passe - lors de sa première exécution, une signature unique est générée et enregistrée sur les serveurs de VeriSign. Votre appareil possède un identifiant unique que vous enregistrez ensuite avec votre identifiant sur un site externe.
Après cela, chaque fois que vous ouvrez le programme, il vous montrera le mot de passe actuel à utiliser lors de l'authentification à deux facteurs. Facile.
Un autre grand acteur dans le domaine de l'authentification à deux facteurs est RSA. RSA est en fait pionnier dans le domaine de la sécurité, à l'origine brevetage une méthode pour crypter les données des canaux de communication en 1983 et les publier en open source en 2000.
Tout comme l'application VeriSign, RSA a publié son application SecureID gratuitement sur iPhone, Blackberry, Windows Mobile et quelques autres plates-formes. Malheureusement, ils n'ont pas publié d'application sur la plateforme Android à cette date de publication. Vous avez également une solution RSA en place pour utiliser le générateur OTP mobile, cela proviendrait de votre lieu de travail, de votre banque ou de toute autre connexion qui pourrait avoir besoin d'être sécurisée.
Les solutions RSA sont largement utilisées dans le monde.
FireID est une startup dans l'espace d'authentification à deux facteurs. Bien qu'ils soient nouveaux dans le domaine, ils ont une très belle application iPhone. Leur site Web indique qu'ils prennent également en charge les appareils Blackberry, Android, Windows Mobile et Symbian, mais je n'ai pas pu trouver d'informations sur ces produits et je ne sais pas s'ils ont été publiés encore.
Ils sont définitivement une entreprise à surveiller.
ArcotOTP [n'est plus disponible]
ArcotOTP est un autre générateur de mots de passe à usage unique. Tout en étant moins connue que les autres, Arcot est une entreprise «émergente» dans ce domaine, et compte le vénérable Bruce Schneier comme conseiller de l'entreprise. ArcotOTP est une technologie propriétaire où vous aurez besoin d'utiliser un logiciel lié à une solution ArcotOTP.
SafeNet fournit une suite de différentes solutions de sécurité et d'authentification, et propose également une belle gamme d'applications OTP pour plusieurs plates-formes, notamment iPhone, Blackberry, Windows Mobile et SMS. Android est notamment absent de cette liste.
Bien qu'il ne s'agisse pas d'une liste complète de générateurs OTP mobiles gratuits, ce qui précède vous donne une bonne idée de certains des les acteurs majeurs du domaine et les solutions les plus appréciées qui proposent un client mobile plutôt qu'un hardware jeton. Il existe de nombreux fournisseurs OTP, chacun avec sa propre plate-forme pour sécuriser les connexions.
VeriSign est probablement celui que vous connaissez le mieux et qui a le plus adopté le commerce électronique, car Paypal / eBay, Salesforce et d'autres applications Web populaires les utilisent. Quelle application gratuite que vous utiliseriez est probablement dictée par les sites Web auxquels vous devez vous connecter et le schéma à deux facteurs qu'ils utilisent.
Quelle que soit votre méthode préférée pour implémenter l'authentification à deux facteurs, ces applications gratuites vous dirigent vers certains fournisseurs qui ont été progressif sur l'état d'esprit «convergence de l'appareil mobile», vous permettant de renoncer à un jeton séparé et d'utiliser un appareil pour augmenter votre connexion Sécurité.
Faites-nous savoir à quel point vous pouvez facilement utiliser ces générateurs de mots de passe, ou quels autres schémas de sécurité vous utilisez pour sécuriser vos mots de passe.
[En tant que post-scriptum, je voulais juste souligner que l'authentification à deux facteurs a un trou béant - une attaque Man in the Middle est toujours en mesure de vaincre ce schéma d'authentification. Fondamentalement, un attaquant se trouve entre vous (connexion) et le serveur, transmettant vos informations au serveur légitime, y compris le mot de passe à usage unique. Il s'agit d'un problème de sécurité assez obscur pour le grand public, donc l'ajout d'une authentification à deux facteurs à vos processus de connexion offre une sécurité beaucoup plus grande qu'un schéma à un facteur normal. ]
Crédit d'image: mikebaird.
Dave Drager travaille chez XDA Developers dans la banlieue de Philadelphie, en Pennsylvanie.
