Как сделать из флешки usb-токен? Интернет-издание о высоких технологиях
Аналитиков «Лаборатории Касперского», в 2017 году было предпринято более 260 млн попыток фишинговых атак - это один из способов получить все ваши пароли и данные. От этого может не спасти даже двойная аутентификация через СМС или специальное приложение.
График попыток фишинговых атак
Но люди придумали такую штуку, как USB-токен - она лучше защищает ваши данные. Рассказываем, почему этот способ более надежный и как правильно все настроить.
Что это такое и как работает?
USB-токен - небольшое устройство, похожее на обычную флешку. Внутри них специальный уникальный код, заменяющий другие способы двойной аутентификации.
По факту его можно сравнить с ключом от вашей квартиры - если ключ в компьютере, то вы можете войти в свой аккаунт. Только здесь разница в том, что ваш аккаунт гораздо сложнее взломать отмычкой.
Почему это надежнее двойной аутентификации?
Обычная двойная аутентификация работает так: вы вводите пароль от почты, вам по СМС приходит код подтверждения для входа в аккаунт. Получается, что если у злоумышленника нет вашего смартфона, то зайти под вашим логином он не сможет. Но на самом деле это не совсем так.
Почти у всех сервисов с такой функцией злоумышленник может перехватить ваш код от аккаунта из-за общей уязвимости, заключенной в системе SS7. Через нее любой человек может следить за вашим смартфоном - слушать разговоры и читать все сообщения. Операторы эту проблему не признают , хотя ей уже больше 30 лет.
Приложения-аутентификаторы, вроде Google Authentificator, в этом плане надежнее. Для вас каждые 30 секунд генерируется новый пароль - его знают только ваш смартфон и аккаунт в интернете. Но даже так хакеры могут до вас добраться, особенно если вы доверчивый.
Злоумышленник может получить доступ к этим кодам безопасности на этапе настройки приложения . Кроме того, вас могут обмануть и вы зайдете на фальшивый сайт Google, где сами выдадите все пароли хакерам.
Да кто будет пользоваться этими «флешками»?
Все сотрудники из Google этим пользуются и очень довольны. В начале 2017 года все работники корпорации перешли на этот способ аутентификации своих аккаунтов. Как итог - за этот год не произошло ни одной кражи личной информации.
Теперь в Google считают, что USB-токены - самый надежный способ защитить свой аккаунт. Вот так.
Все слишком хорошо! Какие подводные?
Да, подводные камни здесь есть. Пока полноценно эти токены поддерживаются только в двух браузерах - Google Chrome и Opera. В Firefox это реализовали через расширение, а в Edge обещают добавить позже. Разработчики Safari вообще об этой функции ничего не говорят.
И еще один недостаток связан со смартфонами. Чтобы войти в аккаунт на своем Айфоне, вам понадобится ключ с Bluetooth - он стоит немного дороже. Еще можно попробовать переходник, но мы этот способ не проверяли, так что может не сработать.
Это не страшно. Как начать пользоваться ключом?
В первую очередь - вам нужен тот самый USB-токен. Его можно купить в интернете - в России проще всего достать JaCarta U2F. Я купил такой за 1500 рублей.
Так выглядит USB-токен Jakarta U2F
Процедура настройки ключа практически везде одинакова , поэтому мы покажем настройку на примере аккаунта в Google.
1 - Войдите в настройки двойной аутентификации аккаунта. Нажмите на «Выберите другой способ» и выберите там электронный ключ:
2 - Подключать ключ к компьютеру сразу нельзя. Убедитесь, что он у вас в руке и жмите «Далее»:
3 - Вставьте ключ в USB-разъем и нажмите на нем кнопку:
Ключ загорится красным светом, а браузер попросит разрешения на доступ к устройству:
Маленькая черная штучка - кнопка. На нее нужно нажать после подключения ключа
4 - Ваш ключ зарегистрируется и вам нужно будет придумать ему имя:
5 - Готово! Теперь добавьте дополнительные способы входа в аккаунт - через приложение или СМС-код. Это нужно, если вы потеряете свой токен. Но я этого делать не буду.
А теперь небольшой челендж для читателей. Вот все данные аккаунта, на котором я установил свой USB-ключ:
Логин: [email protected]
Пароль: 123456abcd!123456
Если вы сможете войти в этот аккаунт до 15 августа и оставить мне там послание, то я вам перечислю 5 тысяч рублей. Вперед, хакеры!
Подскажите пожалуйста, есть такие программы, которые мгут сделать из флэшки USB-токен. Т.е. смысл таков: я прихожу к компу, втыкаю флэшку, меня авторизовывает и я могу работать. Вытаскиваю флэшку и всё: доступа нету, данные невозможно получить даже вытащив hdd и призвав экстрасенса)
Навигация по записям
Как сделать из флешки usb-токен? : 7 комментариев
- soulcub
Guardant - это не совсем то, что нужно.
Посмотрите Рутокен (http://www.rutoken.ru) - это и есть USB-токен. Российский, недорогой, надежный и проверенный на сотнях тысяч внедрений.
Если у вас все так серьезно, то кроме токена потребуется либо докупить софтинку (смотрите там же на сайте раздел «Решения партнеров»), либо поплясать с настройками оси.
Как уже говорилось, сделать из флешки токен не получится, потому что это суть разные устройства, несмотря на схожий форм-фактор. Если грубо - на токене вы не можете хранить обычные файлы. Поскольку внутренняя память шифруется ресурсами самого токена, ее объем ограничен и используется для хранения существенной информации, напрмер, ключей шифрования, сертификатов и т.д. Для шифрования же больших объемов данных процессоры, применяемые в устройствах класса USB-токен, не предназначены: мощность невелика для таких задач, да и надежная криптография быстрой не бывает. Поэтому на рынке нет полноценных USB-токенов с шифруемым накопителем. - S-ergey
Сделать из флешки USB-токен невозможно, по-моему. Флешка — это накопитель. USB-токен — это не только накопитель, но и встроенный процессор, который выполняет криптографические операции. Насчет "Вытаскиваю флэшку и доступа нету…" можно с помощью usb-токена авторизоваться в операционной системе, и таким образом не имея токена, будет очень трудно авторизоваться. Но вся информация на жестком диске шифроваться не будет, так что "экстрасенс" все-таки скорее всего сможет получить информацию…
- coopjmz
- Кот Федот
http://www.guardant.ru/
они у нас были на тестировании…. Они шифруют всю информацию и без этого ключа-флешки ты же не можешь пользоваться компьютером.(придется сносить винду, если вдруг что) - Igor Titov
Если про идею шифровки то true crypt, или DiskCryptor это софтверная часть которая собственно и шифрует информацию, а USB токен нужен лишь как ключь, но гораздо удобнее использовать пароль на загрузчике (этих же утилит, а не виндосовский), проще купить ттот самый юсби токен так как его стоимость копеечная (без софта шифровки, который отлично заменяют вышеуказанные утилиты), а флешку под него переделать не получится, совершенно разные устройства
true cryp позволяет создать, загрузочный cd диск (около 2 мегабайт) который в случае утери ключа/забывания пороля расшифровывает систему(содержит в себе копию вашего ключа) его естественно нужно хранить в укромном месте, так как в случае системного сбоя диск расшифровывается именно им (в этом огромное преимущество этой утилиты)
Электронные ключи появились давно, но пока не сумели вытеснить стандартную процедуру идентификации по логину и паролю. Это более чем странно, учитывая, что современные USB-токены обеспечивают высокую степень защиты данных, практически неуязвимы перед внешними атаками и в достаточном количестве представлены на российском рынке. Главное, не ошибиться с выбором.
Пароль «устарел»
Идентификация с помощью «логина» и «пароля» — вещь обыденная. Однако, такая схема «распознавания» пользователя системой несколько устарела с точки зрения безопасности и удобства использования. Зачастую, увеличение акцента на защиту информации снижает комфортность контроля доступа для пользователя. Так, пароли созданные в соответствии с предъявляемыми требованиями к сложности (использование букв разного регистра, цифр, знаков препинания и служебных символов, длина минимум 8 символов) тяжелы для запоминания конечному пользователю. Таким образом, главной проблемой становится человеческий фактор.
К проблемам парольной аутентификации можно отнести еще и легкость подбора по словарю (если паролем служит слово или фраза из какого-нибудь языка, даже при условии замены букв на спецсимволы, например, P@ssw0rd), и перебором (особенно коротких паролей.) Также пароль может быть перехвачен или подсмотрен при его вводе либо получен путем применения насилия к его владельцу. Проблемы аутентификации пользователей в информационной системе выявлены очень давно, и уже были предложены различные решения. Современная тенденция — использование двухфакторной аутентификации на основе USB-токенов. В России доля таких устройств занимает доминирующее положение по отношению к смарт-картам и автономным токенам в результате более позднего формирования рынка аппаратных устройств аутентификации и мощной маркетинговой политики компаний-производителей. Основными игроками на Российском рынке USB-ключей (токенов) являются компании Aladdin, Rainbow Technologies, «Актив» совместно с «Анкад», RSA Security, а также Feitian Technologies с ее продуктом ePass.
Сколько стоит современная защита?
Интеллектуальные USB-ключи предназначены для работы в приложениях, к которым предъявляются повышенные требования с точки зрения защиты данных. USB-ключи можно назвать преемниками контактных смарт-карт, они практически повторяют их устройство, но не требуют специальных считывателей, что упрощает их внедрение и уменьшает стоимость. Таким образом, экономическое преимущество при использовании USB-ключей по сравнению со смарт-картами достигается тогда, когда за компьютером работает один пользователь, если же необходимо, чтобы на одной машине работало несколько человек, то выгоднее приобрести один считыватель и несколько смарт-карт, так как стоимость самой карточки ниже стоимости токена. Отметим, что USB-ключи, не выполненные по архитектуре «смарт-карта + карт-ридер», например, ruToken, «Шипка», выполнены на серийном микроконтроллере и программно эмулируют функциональность смарт-карт. Это сильно снижает их безопасность. В частности, они используют внешний чип памяти со всеми вытекающими последствиями (у смарт-карточных токенов память находится внутри чипа смарт-карты, и атаковать ее очень сложно).
Средняя стоимость внедрения систем контроля доступа
Источник: CNews Analytics, 2006
Продемонстрируем это на примере продукции Aladdin. Один электронный USB-ключ eToken PRO/32K стоит $49. Смарт-карта eToken PRO/SC обойдется в $23, считыватель смарт-карт для eToken ASEDrive IIIe USB V2 — $40.
Тонкости выбора USB-токенов
USB-токен — это симбиоз считывателя и смарт-карты, только в нем карта впаяна, и ее нельзя поменять. Процесс инсталляции аналогичен установке считывателя, а его подключение/извлечение аналогично подключению/извлечению карты в считыватель. Чтобы начать использовать USB-токен в приложениях, его необходимо отформатировать специальной утилитой. Не все приложения, которые работают с USB-токенами, будут поддерживать именно конкретную модель токена, это необходимо проверить. Зачастую, выбор токена определяется не его качественными характеристиками, а возможностью работы с определенными приложениями или операционными системами. При покупке не стоит руководствоваться размерами памяти токена, маленький размер памяти смарт-карты здесь является преимуществом, поскольку это не позволяет сотрудникам записывать другую конфиденциальную информацию с рабочего компьютера. При покупке комплекта — программа плюс USB-токен — надо убедиться, что вас обеспечат драйверами для USB токена, и выяснить, каким образом будет произведено форматирование токена: самой программой или отдельной утилитой.
Файловая система токена разделяется между несколькими приложениями и службами. Пользователю не нужно знать множество паролей — их запоминает токен. Следует запомнить лишь короткий PIN-код, удостоверяющий пользователя как владельца всех паролей, хранящихся в памяти ключа. После нескольких неудачных попыток ввода PIN-кода процессор «запирает» токен до вмешательства администратора безопасности, поскольку предполагается, что ключ был украден или потерян.
Для обеспечения строгой аутентификации необходимо гарантировать надежность и достоверность принципала (объекта аутентификации — отправитель или получатель), А потому должны использоваться надежные криптографические алгоритмы и продуманные схемы аутентификации. Строгая аутентификация в данном контексте означает, что информация, непосредственно аутентифицирующая пользователя, не выходит за пределы токена, а лишь участвует в криптографических вычислениях, результатом которых будут некоторые последовательности нулей и единиц, расшифровав которые другой принципал абсолютно надежно, точно и достоверно определит отправителя. Именно, поэтому важно покупать модели со встроенным генератором ключей, чтобы такая важная информации не попадала из токена в компьютер. Кроме того, все важные криптографические вычисления по проверке сертификатов должны быть реализованы аппаратно, что также исключает возможность компрометации на уровне компьютерных приложений.
Основные характеристики предлагаемых на рынке продуктов
Изделие |
Емкость памяти, кб |
Разрядность серийного номера |
Поддерживаемые ОС |
Алгоритмы шифрования/ хеширования |
Rainbow Technologies, iKey 2032 |
Windows 95, 98, NT, сертифицирован к 2000, XP, 2003, Windows 95, 98, NT, сертифицирован к 2000, XP, 2003, RedHat Linux, Mandrake, SuSe (сертифицирован ФСТЭК России) |
|||
Rainbow Technologies, iKey 3000 |
Windows 95, 98, ME,NT, 20003, сертифицирован к 2000, XP, RedHat Linux, Mandrake, SuSe |
MD5, RSA 1024/2048, DSA, DES, 3DES, RC2, RC4, SHA-1 |
||
Aladdin Knowledge Systems, eToken Pro |
Windows 95, 98, ME,NT, 20003, Linux, DOS (сертифицирован ФСТЭК России) |
RSA/1024, DSA, DES (ECB, CBC), 3DES (CBC), SHA-1, MAC, iMAC, MAC3, iMAC3 |
||
«Актив» совместно с «Анкад», ruToken |
Windows 98/ME/2000/XP/2003 |
ГОСТ 28147-89 аппаратно, другие — программно |
||
Feitian Technologies, ePass2000 |
Windows 98/ME/2000/XP/2003, Linux and MACOS 8/9, OS X |