Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31352

特製Token化身密碼產生器,拍下螢幕畫面就能取得通關密語

$
0
0

企業想要採用動態密碼機制的身分驗證解決方案,市面上有不少可選,然而,這道防護措施還是由英文字母、數字與符號所組合而成的密碼,有心人士想複製或是竊取,難度較低,因此,有新興廠商Datablink,他們提供使用者名為Device 200的實體Token,試圖透過光學感應器讀入指定閃爍訊號,藉此改良傳送身分驗證資料的型式。

這種方式並非首度出現,Gemalto旗下的SafeNet在2011年時曾推出過同類型的Token裝置,就是委託擁有相關光學讀取技術專利的BRToken(Datablink的前身)製造。

只是SafeNet的Token型號眾多,不像Datablink,只提供Device 200一種實體Token,這款Token也可能因此未受到太多的關注。

與大多數實體Token相同的是,Device 200是一個獨立的裝置,不像PKI憑證必須連接到電腦讀取,裝置內容很可能會受到竄改,或是遭到電腦網路攻擊影響等疑慮。

此外,Device 200也與大多數的實體Token同樣,透過內建電池供應電力,但基於避免有心人士反向取得Device 200產生密碼的方法,這款Token不能拆解維修,若是內部元件因外殼遭到破壞而接觸到空氣,功能就會自動失效。因此,Device 200一旦電力耗盡,就必須更換新品,代理商漢領國際提供保固期間為5年,算是實體Token中,保固年限較長的產品。

支援讀取光學訊號的動態密碼產生器

擁有2個按紐,上方具有鑰匙圖示者可產生密碼,下方按紐則是啟動Token後方的感應器,讀取認證畫面中的動態訊號,成為Device 200產生回應密碼的要素。

Device 200背面擁有光學感知器,可直接讀取螢幕上的黑白閃爍訊號。由於使用者必須將這個Token對著螢幕操作,Device 200採取直立可持握的設計,與多數Token像隨身碟或是計算機的樣貌相當不同。

操作簡易,使用者掃描畫面上的動態圖片就能取得密碼

而Device 200與大多數實體Token不同的是,這款裝置擁有2個按紐,一個可產生動態密碼,另一個則是用來啟動光學感應器,讀取畫面上的特定訊號。這個裝置主要有2種運作模式,首先,使用者可直接透過Device 200產生密碼,這個模式就與多數只有1個按紐的Token功能相同。

第2種模式則是依據身分認證畫面中的指示,使用者先點選畫面中的開始按紐,並將Device 200對著認證畫面中閃爍的特定區域,按下啟動光學感應器的按紐,Device 200成功取得訊號內容後,就會在螢幕上顯示認證畫面中的校驗碼,使用者這個時候再按下產生動態密碼的按紐,才會顯示必須在認證頁面上用戶要回應的內容。

以往為了增加身分認證的可靠性,使用者需搭配有數字鍵盤的動態密碼Token,在身分驗證的過程中,必須先在這個Token中輸入螢幕上的指定內容,Token才會產生對應的密碼,使用者才能在身分認證畫面中完成驗證。

而Device 200則一改這樣的做法,它以感知器自動讀入指定的內容,因此使用者可以省下在Token輸入第一道密碼的麻煩。

由於許多廠商與Datablink相同,採用具有時效性、並且只能使用一次的動態密碼,使用者能夠輸入的時間並不充裕,因此可能會發生密碼輸入完成後,認證畫面上的數字已經更換,只能重新再輸入的情況,若是一旦輸入錯誤,也同樣需要再次執行相關流程。

Device 200則在保留雙向交互驗證機制的同時,提供使用者較為簡便的操作步驟,改善了流程。相較之下,長久以來為了安全性,必須在Token輸入數字的傳統機制,Device 200所採取的措施,也許使用者更能夠接受。

事實上,Datablink還有另一種透過手機App驗證身分的軟體Token(Mobile 200),它的做法是採用掃描QR Code,但嚴謹度略遜於Device 200。

為什麼這麼說?一般而言,QR Code可視為一張圖片,因此能透過螢幕截圖或是手機拍照複製,然後使用專用的辨識軟體得知其內容,而Device 200採用專屬的光影閃爍訊號,解讀難度高出許多,相較之下即使遭到截取或側錄,對方要解讀所代表的資訊並不容易。

利用光學訊號可直接讀取畫面上的傳遞資訊

Datablink Device 200可藉由背面的感應器,使用者將其對著螢幕上的閃爍訊號顯示區域(黑框處),按下密碼產生器的下方按紐,Device 200就能取得挑戰碼,或是指定的交易資訊,包含銀行代碼、帳號、交易金額等內容,再產生對應的動態密碼。

可支援交易資料的比對

附帶一提,Device 200所採用的光學訊號,與Mobile 200的QR Code,當中的內容也能代表多項資料,因此這兩種Token也可藉著上述方式,取得驗證畫面中指定的線上交易內容,供使用者進行比對。

在中間人攻擊中,除了可能會修改使用者的身分認證資訊之外,也有可能改掉交易的內容,比如匯款帳號與金額,假如只有驗證使用者的身分,就難以發覺這種情況。

這個功能,通常也被稱做是交易簽章(Transaction Signing),主要是經由Token確認線上交易畫面的內容,或是系統要傳送到交易伺服器的資料,未遭到中間人竄改的機制。

管理平臺同時支援使用硬體與軟體Token執行驗證

在Datablink的解決方案中,可提供使用者採Device 200或安裝於行動裝置中的軟體Token,進行身分認證之用。管理者最多可配發每個使用者2個Token,因此單一用戶也可以同時持有軟硬體裝置。

管理平臺也能與企業內部系統整合

架設Datablink管理平臺,原廠提供2種方法:企業可選擇獨立架設,或是直接整合企業內部現有的系統中。前者伺服器軟體稱為Datablink Management Server,需要在Windows Server 2012環境中架設,並以SQL Server和Oracle資料庫存放相關的加密資訊。

後者的部署方式,則是適用於較大型的企業,IT人員能透過Visual Basic、.NET、C#、C++、Java、COBOL等開發工具,將原廠提供的Datablink Management API與企業的現有系統進行整合,並運用已有的資料庫存放相關的資訊。但這種作法牽涉到企業原有的系統,因此相關的細節仍需向原廠或是代理商確認。

在管理後臺的儀表板中,IT人員可檢視所有Token的啟用狀態,以及Token配發給使用者的情況,還有執行身分認證的記錄統計等圖表,快速了解整體配置態勢。

而報表的部分,Datablink則支援依據使用者類型、不同狀態的Token,以及管理伺服器的記錄等3種查詢方向,執行輸出。

上述的報表都能以PDF、CSV或HTML格式匯出,並且支援定期排程發送給特定人員。

不過,這個管理平臺缺少警示的機制,若是遇到使用者在不尋常的時間,登入企業的VPN或是雲端應用程式,管理者必須採取定期檢查輸出的報表,或是搭配其他Datablink支援的SIEM軟體,才能找到這種疑似的異常行為。

管理者能從後臺設定,並檢視使用狀態

在Datablink的管理伺服器中,IT人員可透過瀏覽器登入,執行管理,包含設定與企業AD、內部應用程式與網路設備的整合,以及使用者的密碼產生器、App使用許可管理,以及如圖檢視,公司內運用這套進階認證服務的情況,像是有無使用者遭到封鎖等問題。

整合內部網路設備容易,並跨足雲端服務平臺

在使用者的管理上,Datablink能夠整合企業內部的LDAP與AD目錄用戶,因此,它能夠要求使用者登入公司內部的Windows電腦時,透過Device 200或行動裝置App,執行進階認證。

對於身分認證環境的整合,Datablink主要透過RADIUS與SMAL協定,前者主要是與企業內部的網路設施整合,後者則是雲端服務平臺所支援的介接標準協定。

透過RADIUS標準協定,主要能將Datablink身分認證機制應用於Citrix NetScaler、Check Point Security Gateway,以及Cisco ASA、Palo Alto、Fortinet、WatchGuard防火牆設備等,管理者只需依照原廠的手冊設定,就能套用Datablink的認證機制,不須額外的異質系統整合,這也是這個解決方案中,相當值得一提的特性。

此外,這套解決方案也能與雲端服務的身分認證整合,例如微軟的Office 365、Google Apps與Salesforce,要求用戶在使用之前,必須先經由Datablink介面登入,並進行相關驗證之後,才能運用指定的服務。

除了能夠支援企業內的網路設備,與雲端應用程式的進階驗證之外,Datablink也提供API,能與Web Services,尤其是線上交易系統(或網路銀行)整合,而這個部分也能充分利用Device 200的特色功能,執行多種交易資訊的比對。

管理者可設定在每一筆交易之中,使用者必須由Device 200讀取銀行代碼、帳號、金額等指定內容,Datablink最多可比對10種元素,要求使用者確認之後,才會處理這筆交易。

使用者在前臺登入時,支援多種方式執行進階認證
Datablink可同時提供多種認證方式,以圖中的Windows登入畫面來看,使用者輸入帳號對應的密碼之後,可採用動態密碼、掃描QRCode或推送方式執行進階認證。

企業可彈性分配軟硬體Token,使用者能同時持有及運用

在Datablink解決方案的計價方式中,主要透過使用者的人數,以及採用的Device 200與行動裝置App Token數量,還有軟體功能、更新服務項目等為計算建置費用的基礎。

以人數為10個使用者的需求、支援SAML、Web Service、Radius、LDAP整合模式,啟用Windows Logon功能,並提供5年的軟體更新服務來說,若是所有使用者都配發1個Device 200,Datablink整個解決方案的建置費用為12.5萬元。

而選用上述同樣的功能,使用者全部改用軟體Token執行身分認證,售價則只要11萬元。因此,對於企業來說,使用者採用不同型式的Token,也會影響建置的費用。

不過,上述的建議售價資訊,並非代表每個使用者只能持有一種Token,企業最多可配發單一使用者2個Token,因此管理者可彈性調配或是指派。

假如公司某個員工離職,管理者可在Datablink Management Server直接註銷他的帳戶,以及對應的Device 200與行動裝置Token授權配對。

而針對配發的Device 200,若能夠回收,這個密碼產生器就可以指派給下一個使用者。

如果無法向這個用戶取回Token,儘管使用權能夠直接在管理平臺撤銷,但裝置就需要重新採買。

相較之下,對於採用行動裝置App執行身分認證的用戶而言,管理者只要回收使用權限,即可阻止使用者再運用相關的服務。

不論是Device 200或是Mobile 200手機App,都很可能遇到遺失的情況,但若是使用者沒有即時發現,那麼這些Token很可能會有遭到濫用的空窗期。若是管理平臺能夠提供一套機制,及早發現相關的問題,或許就能減少Token遺失時,使用者身分暴露在可能會被冒用的風險中。

雖然Device 200一旦遺失或損壞,就只有重新購買新的密碼產生器一途,然後再向公司的Datablink伺服器註冊。但在密碼產生器不能運作的空窗期中,管理者仍可透過管理介面,提供使用者臨時許可的登入代碼,因應這類型的突發狀況。

透過感知器接收線上交易的內容,供使用者比對

當使用者在採用Datablink解決方案的網路銀行中,執行交易時,使用者輸入的指定交易內容會經由網路銀行的伺服器,傳送到Datablink Management Server,由管理伺服器將取得的內容轉換成閃爍畫面,並顯示於螢幕中。使用者再啟動Device 200光學感知器的功能,對著交易畫面中的閃爍區域,Device 200就能讀取其中的內容,並顯示於Token的螢幕上。使用者再按密碼產生按紐,Device 200才會產生應在交易畫面回應的字串,使用者輸入之後才完成整個驗證程序,這筆交易才會正式成立。(圖片來源/漢領國際)

 

 用QR Code也行!Datablink Mobile 200讓你的手機變成Token 

雖然,Datablink Device 200相當輕巧便攜,但對於使用者人數較多的企業,大量配發實體的Token,一旦遺失、損毀,或是員工離職時沒有歸還,導致公司後續管理較為不易。因此,Datablink也提供可在行動裝置執行的Mobile 200 App,使用者只要在Apple App Store和Google Play商店下載並安裝,再向企業內部的認證伺服器註冊後,便能以使用者的行動裝置做為Token。

在功能上,Mobile 200與Device 200都能提供動態密碼,也能透過從螢幕取得指定的資訊,但Mobile 200透過行動裝置的相機,掃描認證畫面呈現的QR Code,並非像Device 200讀取動態的黑白閃爍訊號。

相對來說,前者為代表特定字串的圖案,若有心人士要複製、取得其內容的門檻較低;而後者的訊號則不能用上述的方式還原所代表的內容,因此就這個方面而言,實體Token的Device 200安全性可能較軟體型式要來得好。

但Mobile 200擁有Device 200所沒有的推送(push)功能,針對需要進階身分認證的頁面,若採行這個方式,使用者只要在行動裝置上點選確認按紐,就能完成原本必須回到認證頁面輸入回應碼的流程;而對於交易內容的確認,Mobile 200也只要在行動裝置操作即可,而不像實體Token必須透過回應碼,才能達到確認的目的。

此外,這款Mobile 200可支援iOS、Android與Windows Phone等3大平臺,而iOS平臺更能與Touch ID整合,只有特定的使用者才能透過指紋辨識,解鎖執行。

類似於Device 200由光學感知器讀取認證頁面上的資訊,Datablink的Mobile 200軟體式Token也提供類似的功能,但差異是後者採用掃描QR Code的方式,取得相關的內容。

 

 產品資訊 

Datablink Device 200

●建議售價:10個使用者、5年伺服器軟體更新授權,12.5萬元起(未稅)

●代理商:漢領國際(02)8228-6983

●支援介接系統的協定:RADIUS、SAML、Web Services

●管理伺服器作業系統:Windows Server 2012

●資料庫系統需求:微軟SQL Server或Oracle Database

●可支援的認證模式:動態密碼、挑戰與回應碼、交易簽章

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Viewing all articles
Browse latest Browse all 31352

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>