08
אוג
07

אמצעי/רכיבי זיהוי חזקים

בפוסט קודם, דנתי על הצורך בזיהוי חזק לאתרים (וגם למערכות ארגוניות). כעת אדון בקצרה על מספר אמצעי זיהוי חזק מקטגוריית רכיב פיזי – Something you have. רכיב פיזי זה הינו רכיב שני בסכימת Two-Factor Authentication.

ניתן לחלק רכיבים מקטגוריה זו לפי המאפיינים הבאים:

  1. רכיב מבוסס PKI (תעודות דיגיטליות)
  2. מחולל סיסמאות חד-פעמי (OTP)

1. רכיב מבוסס PKI שומר בתוכו תעודה דיגיטלית לפי תקן X.509. תעודה זו הינה ייחודית לבעליה ומזהה אותו בעת תהליך האימות לאתר. התעודה נשמרת באמצעי אחסון מאובטח (Secure Store) המונע אפשרות העתקתה. אמצעי האחסון הנפוצים כוללים תעודה חכמה (Smart Card) וטוקן (פתרון נפוץ בשוק הנו eToken של חברת אלאדין הישראלית).
2. מחולל סיסמאות חד-פעמי הינו רכיב המספק סיסמא (בד"כ מחרוזת בת 6 או 8 ספרות) התקפה לפרק זמן קצר (בד"כ 60 שניות) לצורך אימות מול האתר. השם מחולל סיסמאות מעט מטעה שכן הסיסמא לא מחוללת בעת לחיצה על כפתור אלא מתחלפת (ומוצגת) לפי האלגוריתם המסוים כל 60 שניות. האלגוריתם צריך להיות מסונכרן מול השרת הארגוני בכדי שבשני הצדדים 'תחולל' סיסמא זהה. רק מי שמחזיק את הרכיב הפיזי הזה, יראה את הסיסמא הזו. שני פתרונות נפוצים בשוק הנם SecureID ו – Vasco.
פתרונות OTP נוספים ניתן לממש על טלפונים סלולריים (שרק בעליו נגיש אליו – נחשו כמה זמן ייקח לאדם שטלפון שלו נגנב/אבד לבטל אותו בחברת הסלולר). אופן המימוש משתנה; ישנם פתרונות בשוק השולחים את הסיסמא ב – SMS לטלפון בעוד שאחרים מתקינים על הטלפון תוכנת Java המחוללת סיסמאות משתנות כל 60 שניות.

בשימוש באחד מהרכיבים הללו, יש צורך גם בהקלדת קוד סודי (PIN) שידוע רק לבעל הרכיב הפיזי בכדי שניתן יהיה לעשות שימוש בו לצורך תהליך האימות. כך מושג תהליך Two-Factor Authentication.

לכל קטגוריה יש יתרונות וחסרונות. בפוסט נפרד בעתיד ארחיב בנושא. כעת אציין בקצרה שרכיב מבוסס PKI מצריך התקנה על המחשב (חסרון) לעומת OTP שאינו דורש התקנה. מאידך, יהיו כאלה שיטענו שפתרון PKI נחשב מעט יותר מאובטח מ – OTP.

ישנו גם רכיב מגנטי שאינו נפוץ כיום. בעבר, בד"כ בבנקים, עשו שימוש בכרטיס השומר פיסת מידע בפס המגנטי שעל הכרטיס. כיום ישנם אמצעים פשוטים להעתקת תוכן הפס המגנטי.

בפוסט נפרד ארחיב בעתיד על PKI.

CISO

מודעות פרסומת

3 Responses to “אמצעי/רכיבי זיהוי חזקים”


  1. 23/08/2007 ב- 23:10

    הפוסט מעניין מאד. אתה משתמש בהרבה מונחים מקצועיים שלא תמיד מוכרים. אולי תקשר חלק מהם להסברים רלוונטיים ברשת?

    ה- PKI נשמר בצד הלקוח?

  2. 2 CISO
    24/08/2007 ב- 13:05

    תעודה דיגיטלית (PKI) נשמרת בצד הלקוח על גבי רכיב חומרה המוחזק בידי המשתמש.
    הרכיב יכול להיות טוקן או כרטיס חכם (או להישמר על המחשב למרות שזה נחשב פחות מאובטח).

    בהמשך אוסיף בעמוד מושגים ומונחים הסברים רלוונטיים לפוסטים.

    CISO

  3. 3 ר
    07/06/2010 ב- 5:56

    הי,
    באמת פוסט מעניין. אשמח לקרוא משהו מורחב בנושאים הנ"ל.

    בשוק קיימים פתרונות OTP נוספים שאולי כדאי להזכיר אותם, לפחות בפוסט המורחב:
    http://www.gridsure.com

    ר.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


אוגוסט 2007
א ב ג ד ה ו ש
    ספט »
 1234
567891011
12131415161718
19202122232425
262728293031  
מודעות פרסומת

%d בלוגרים אהבו את זה: