Token bezpieczeństwa to przenośne urządzenie, które elektronicznie uwierzytelnia tożsamość osoby poprzez przechowywanie pewnego rodzaju danych osobowych. Właściciel podłącza token zabezpieczający do systemu, aby udzielić dostępu do usługi sieciowej. Security Token Services (STS) wystawia tokeny zabezpieczające, które uwierzytelniają tożsamość osoby.
Podstawy tokena zabezpieczającego
Tokeny bezpieczeństwa występują w wielu różnych postaciach, w tym tokeny sprzętowe zawierające układy scalone, tokeny USB podłączane do portów USB, bezprzewodowe tokeny Bluetooth lub programowalne elektroniczne breloki do kluczy, które aktywują urządzenia zdalnie (na przykład w celu uzyskania dostępu do samochodu lub budynku mieszkalnego) .
Usługi jednokrotnego logowania używają również tokenów bezpieczeństwa do bezproblemowego logowania użytkowników do stron internetowych osób trzecich. Odłączone tokeny nie są w żaden sposób powiązane z komputerem lub siecią; raczej użytkownik ręcznie wprowadza informacje z tokena do systemu. Połączone tokeny działają elektronicznie i automatycznie przesyłają informacje do sieci po ich połączeniu.
WARTO ZAPAMIĘTAĆ:
- Tokeny zabezpieczające uwierzytelniają tożsamość elektronicznie, przechowując dane osobowe.
- Są one wydawane przez Security Token Services (STS), które uwierzytelniają tożsamość osoby.
- Mogą być używane zamiast hasła lub jako uzupełnienie hasła w celu potwierdzenia tożsamości właściciela.
- Tokeny bezpieczeństwa nie zawsze są bezpieczne – mogą zostać zgubione, skradzione lub zhakowane.
Przykład tokena zabezpieczającego w świecie rzeczywistym
Możesz użyć tokena zabezpieczającego, aby uzyskać dostęp do wrażliwego systemu sieciowego, takiego jak konto bankowe, aby dodać dodatkową warstwę bezpieczeństwa. W tym przypadku token zabezpieczający jest używany oprócz hasła w celu potwierdzenia tożsamości właściciela konta.
Ponadto tokeny zabezpieczające przechowują dane w celu uwierzytelnienia tożsamości właścicieli. Niektóre przechowują klucze kryptograficzne, system wykorzystywany w usługach kryptowalutowych, takich jak Bitcoin, ale klucz należy utrzymywać w tajemnicy. Niektóre używają haseł wrażliwych na czas, które są koordynowane między tokenem a siecią i są resetowane w stałych odstępach czasu. Inni używają danych biometrycznych, takich jak dane odcisków palców, aby zapewnić, że tylko właściciel tokena zabezpieczającego może uzyskać dostęp do chronionych informacji.
Słabe strony tokenów bezpieczeństwa
Jak w każdym systemie, tokeny bezpieczeństwa nie są bezbłędne. Jeśli token zostanie zgubiony lub skradziony lub jeśli nie jest w posiadaniu właściciela, nie można go użyć do uzyskania dostępu do usługi. Jednak właściciel może podjąć kroki, aby zapobiec zgubieniu lub kradzieży, takie jak zamki lub alarmy, a token może zostać bezużyteczny dla złodzieja za pomocą uwierzytelniania dwuskładnikowego, które wymaga zarówno elementu będącego w posiadaniu właściciela (na przykład karta bankowa) i część wiedzy (na przykład PIN), aby uzyskać dostęp do tokena.
Tokeny bezpieczeństwa można również zhakować. Dzieje się tak często, gdy właściciel nieświadomie przekazuje poufne informacje nieautoryzowanemu dostawcy, który następnie wprowadza te informacje do bezpiecznej sieci. Jest to znane jako oszustwo typu man-in-the-middle. Każda sieć podłączona do Internetu jest podatna na taki atak.
