Токен безопасности, или секьюрити токен (англ. Security token) – это физическое или цифровое устройство, которое обеспечивает двухфакторную аутентификацию (2FA) для пользователя, чтобы подтвердить его личность в процессе входа в систему. Обычно он используется как форма идентификации для физического доступа или как метод доступа к компьютерной системе. Токен может быть предметом или картой, которая отображает или содержит информацию о безопасности пользователя и может быть проверена системой.

Токены безопасности могут использоваться вместо традиционных паролей или в дополнение к ним. Чаще всего они используются для доступа к компьютерным сетям, но также могут обеспечивать физический доступ к зданиям и выступать в качестве электронных подписей для документов.

Как работают токены безопасности?

Токен безопасности обеспечивает аутентификацию для доступа к системе через любое устройство, генерирующее пароль. Это может быть смарт-карта, USB-ключ, мобильное устройство или RFID-карта. Устройство генерирует новый пароль при каждом использовании, поэтому токен безопасности можно использовать для входа в компьютер или виртуальную частную сеть, введя пароль, сгенерированный токеном, в приглашение.

Технология токенов безопасности основана на использовании устройства, которое генерирует случайное число, шифрует его и отправляет на сервер с информацией для аутентификации пользователя. Затем сервер отправляет обратно зашифрованный ответ, который может быть расшифрован только устройством. Устройство повторно используется для каждой аутентификации, поэтому серверу не нужно хранить информацию об имени пользователя или пароле, делая систему менее уязвимой для взлома.

Типы токенов безопасности

Для защиты различных активов и приложений используются несколько типов токенов безопасности. К ним относятся следующие:

  • Одноразовые пароли (OTP). Одной из форм токена цифровой безопасности являются одноразовые пароли. Они действительны только для одного сеанса входа в систему, то есть они используются один раз и никогда больше. После первоначального использования сервер аутентификации уведомляется о том, что OTP не следует использовать повторно. OTP обычно генерируются с использованием криптографического алгоритма из общего секретного ключа, состоящего из двух уникальных и случайных элементов данных. Один элемент – это случайный идентификатор сеанса, а другой – секретный ключ.
  • Отключенные токены. Это форма цифрового токена безопасности, который физически или логически не подключается к компьютеру. Устройство может генерировать OTP или другие учетные данные. Приложение для ПК, которое отправляет текстовое сообщение на смартфон, которое пользователь должен ввести при входе в систему, использует отключенный токен.
  • Подключенные токены. Подключенный токен – это физический объект, который напрямую подключается к компьютеру или сенсору. Устройство считывает подключенный токен и предоставляет или запрещает доступ. YubiKey – это пример подключенного токена.
  • Бесконтактные токены. Бесконтактные токены образуют логическое соединение с компьютером, не требуя физического соединения. Эти токены подключаются к системе по беспроводной сети и разрешают или запрещают доступ через это соединение. Например, Bluetooth часто используется как метод установления соединения с бесконтактным токеном.
  • Программные токены системы единого входа (SSO). Программные токены системы единого входа хранят цифровую информацию, такую ​​как имя пользователя или пароль. Они позволяют людям, которые используют несколько компьютерных систем и несколько сетевых служб, входить в каждую систему без необходимости запоминать несколько имен пользователей и паролей.
  • Программируемые токены. Программируемый токен безопасности многократно генерирует уникальный код, действительный в течение определенного периода времени, часто 30 секунд, для предоставления доступа пользователю. Например, AWS Security Token Service – это приложение, которое генерирует коды 2FA, необходимые администраторам информационных технологий для доступа к некоторым облачным ресурсам Amazon Web Services.

Преимущества токена безопасности

Хотя это правда, что пароли и идентификаторы пользователей по-прежнему являются наиболее широко используемой формой аутентификации, токены безопасности являются более безопасным вариантом для защиты сетей и цифровых систем. Проблема с паролями и идентификаторами пользователей в том, что они не всегда безопасны. Злоумышленники продолжают совершенствовать методы и инструменты для взлома паролей, делая пароли уязвимыми. Данные паролей также могут быть доступны или украдены в результате утечки данных. Кроме того, пароли часто легко угадать, обычно потому, что они основаны на легко обнаруживаемой личной информации.

С другой стороны, токены безопасности используют уникальный для пользователя физический или цифровой идентификатор. Большинство форм относительно просты в использовании и удобны.

Уязвимости токенов безопасности

Хотя токены безопасности предлагают пользователям и организациям множество преимуществ, они также могут иметь недостатки. Основным недостатком физических токенов безопасности является то, что они подвержены утере или краже. Например, токен безопасности может быть утерян во время путешествия или украден неавторизованной стороной. Если токен безопасности утерян или украден, его необходимо деактивировать и заменить. Тем временем неавторизованный пользователь, владеющий токеном, может получить доступ к конфиденциальной информации и системам.