Propaganda
Os tokens de senha de uso único (OTP) são normalmente considerados os melhores em segurança de login do consumidor. Eles são uma parte essencial do uso de um Autenticação de dois fatores sistema que aumenta drasticamente a segurança de um login a partir de um sistema de fator único típico de nome de usuário / senha.
O esquema de segurança de nome de usuário / senha é considerado muito inseguro por vários motivos, incluindo facilidade de detecção de pacotes ou pressionamentos de teclas, ataques de phishing e outros problemas de engenharia social. Esquemas de autenticação de dois fatores adicionam outra camada de segurança ao fazer com que um usuário recupere outra senha de uma fonte fora da banda, como um dispositivo de geração de senha (como um token OTP) ou SMS texto.
Como essa senha muda constantemente em intervalos de tempo - é quase impossível para um possível hacker roubar seu nome de usuário e senha e fazer login sem ter esse token.
Esses tokens geralmente são pagos, pois são um dispositivo físico, mas com o recente aumento de aplicativos disponível para dispositivos móveis, muitos provedores de OTP estão agora oferecendo aplicativos gratuitos que substituem um físico dispositivo.
Abaixo estão alguns dos geradores de senhas mais populares que eu já encontrei e amostras de capturas de tela deles em ação:
Acesso à VeriSign Identity Protection (VIP) para celular
Um dos maiores fornecedores de tokens físicos de senha de uso único é a Verisign. Seus tokens de hardware são de baixo custo para o usuário final e são utilizáveis em vários sites online populares, incluindo eBay, SalesForce, Box.net, Paypal e muito mais. Você pode solicitar uma chave de baixo custo (US $ 5) no Paypal ou, como descobri recentemente, fazer o download de um aplicativo gratuito para dispositivos móveis.
A Verisign oferece software para uma ampla variedade de dispositivos móveis, incluindo iPhone, Android, Windows Mobile, Blackberry e muito mais. Basta baixar o software e executar o programa gerador de senhas - na primeira execução, uma assinatura exclusiva é gerada e registrada nos servidores da VeriSign. Seu dispositivo possui um ID exclusivo que você registra com seu login em um site externo.
Depois disso, sempre que você abrir o programa, ele mostrará a senha atual a ser usada durante a autenticação de dois fatores. Fácil.
Outro grande participante no campo Autenticação de dois fatores é o RSA. A RSA foi pioneira na área de segurança, originalmente patente um método para criptografar dados do canal de comunicação em 1983 e liberá-lo em código aberto em 2000.
Assim como o aplicativo VeriSign, a RSA lançou seu aplicativo SecureID gratuitamente para iPhone, Blackberry, Windows Mobile e algumas outras plataformas. Infelizmente, eles não lançaram um aplicativo na plataforma Android até a data desta publicação. Você também possui uma solução RSA para usar o gerador OTP móvel; isso viria do seu local de trabalho, banco ou qualquer outro login que possa precisar ser protegido.
As soluções RSA são amplamente utilizadas em todo o mundo.
FireID é uma inicialização no espaço de autenticação de dois fatores. Embora sejam novos no campo, eles têm um ótimo aplicativo para iPhone. O site deles afirma que eles também suportam dispositivos Blackberry, Android, Windows Mobile e Symbian, mas não consegui encontrar nenhuma informação sobre esses produtos e não tenho certeza se eles foram liberados ainda.
Eles são definitivamente uma empresa para ficar de olho.
ArcotOTP [Não está mais disponível]
O ArcotOTP é outro gerador de senhas únicas. Embora seja menos conhecido que os outros, a Arcot é uma empresa em ascensão nesse campo e conta o venerável Bruce Schneier como consultor da empresa. O ArcotOTP é uma tecnologia proprietária na qual você precisará usar um software vinculado a uma solução ArcotOTP.
O SafeNet fornece um conjunto de soluções diferentes de segurança e autenticação e também possui uma boa variedade de aplicativos OTP para várias plataformas, incluindo iPhone, Blackberry, Windows Mobile e SMS. Notavelmente o Android está ausente nesta lista.
Embora não seja uma lista abrangente de geradores OTP móveis gratuitos, o que foi dito acima fornece uma boa idéia de alguns dos principais players no campo e as soluções mais populares que oferecem um cliente móvel em vez de um hardware símbolo. Existem muitos fornecedores de OTP por aí, cada um com sua própria plataforma para garantir logins.
A VeriSign é provavelmente aquela com a qual você estará mais familiarizado e com a maior adoção de comércio eletrônico, uma vez que Paypal / eBay, Salesforce e outros aplicativos populares da Web os utilizam. Qual aplicativo gratuito você usaria provavelmente é determinado pelos sites nos quais você precisa fazer login e qual esquema de dois fatores eles usam.
Qualquer que seja o método preferido para implementar a autenticação de dois fatores, esses aplicativos gratuitos apontam para alguns provedores que foram progressivo na mentalidade de 'convergência do dispositivo móvel', permitindo que você renuncie a um token separado e use um dispositivo para aumentar seu login segurança.
Informe-nos com que facilidade você encontra esses geradores de senha ou quais outros esquemas de segurança são usados para ajudar a proteger suas senhas.
[Como um postscript, eu só queria ressaltar que a autenticação de dois fatores tem um grande buraco - um ataque do tipo Man in the Middle ainda é capaz de derrotar esse esquema de autenticação. Basicamente, um invasor fica entre você (fazendo login) e o servidor, passando suas informações para o servidor legítimo, incluindo a senha de uso único. Esse é um problema de segurança bastante obscuro para o consumidor em geral, portanto, adicionar autenticação de dois fatores aos seus processos de login oferece uma segurança muito maior do que um esquema regular de um fator. ]
Crédito de imagem: mikebaird.
Dave Drager trabalha na XDA Developers nos subúrbios da Filadélfia, PA.
