etoken pass что это такое
eToken PASS
Автономный генератор одноразовых паролей eToken PASS можно использовать для аутентификации в любых приложениях и службах, поддерживающих протокол аутентификации RADIUS – VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access и др.
Производитель: ЗАО «Аладдин Р.Д.»
Принцип работы
В eToken PASS реализован алгоритм генерации одноразовых паролей (One-Time Password – OTP), разработанный в рамках инициативы OATH. Этот алгоритм основан на алгоритме HMAC и хэш-функции SHA-1. Для расчета значения OTP принимаются два входных параметра – секретный ключ (начальное значение для генератора) и текущее значение счетчика (количество необходимых циклов генерации). Начальное значение хранится как в самом устройстве, так и на сервере в системе eToken TMS. Счетчик в устройстве увеличивается при каждой генерации OTP, на сервере – при каждой удачной аутентификации по OTP.
При запросе на аутентификацию проверка OTP осуществляется сервером RADIUS (Microsoft IAS, FreeRadius и другие), который обращается к системе eToken TMS, осуществляющей генерацию OTP на стороне сервера. Если введенное пользователем значение OTP, совпадает со значением, полученным на сервере, аутентификация считается успешной, и RADIUS сервер отправляет соответствующий ответ.
Партия устройств eToken PASS поставляется с зашифрованным файлом, содержащим начальные значения для всех устройств партии. Этот файл импортируется администратором в систему eToken TMS. После этого для назначения устройства пользователю необходим ввод его серийного номера (печатается на корпусе устройства).
В случае нарушения синхронизации счетчика генерации в устройстве и на сервере, система eToken TMS позволяет легко восстановить синхронизацию – привести значение на сервере в соответствие значению, хранящемуся в устройстве. Для этого администратор системы или сам пользователь (при наличии соответствующих разрешений) должен сгенерировать два последовательных значения OTP и отправить их на сервер через Web-интерфейс eToken TMS.
В целях усиления безопасности система eToken TMS позволяет использовать дополнительное значение OTP PIN – в этом случае для аутентификации пользователь помимо имени пользователя и OTP вводит дополнительное секретное значение OTP PIN. Это значение задается при назначении устройства пользователю.
Брелок eToken PASS
Одноразовые пароли
Одноразовые пароли действительны только для одного сеанса аутентификации. Преимущество одноразового пароля по сравнению с обычным состоит в том, что одноразовый пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.
Назначение
Автономный генератор одноразовых паролей eToken PASS можно использовать для аутентификации в любых приложениях и службах, поддерживающих протокол аутентификации RADIUS: VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access и др.
Комплект разработчика eToken OTP SDK 2.0 позволяет легко добавить поддержку аутентификации по одноразовым паролям в собственные приложения.
Преимущества
Принцип работы
В eToken PASS реализован алгоритм генерации одноразовых паролей (One-Time Password — OTP), разработанный в рамках инициативы OATH. Этот алгоритм основан на алгоритме HMAC и хэш-функции SHA-1. Для расчета значения OTP принимаются два входных параметра: секретный ключ (начальное значение для генератора) и текущее значение счетчика (количество необходимых циклов генерации). Начальное значение хранится как в самом устройстве, так и на сервере в системе eToken TMS. Значение счетчика в устройстве увеличивается при каждой генерации OTP, на сервере — при каждой удачной аутентификации по OTP.
При запросе на аутентификацию проверка OTP осуществляется сервером RADIUS (Microsoft IAS, FreeRadius и другие), который обращается к системе eToken TMS, осуществляющей генерацию OTP на стороне сервера. Если введенное пользователем значение OTP совпадает со значением, полученным на сервере, аутентификация считается успешной, и RADIUS-сервер отправляет соответствующий ответ.
Партия устройств eToken PASS поставляется с зашифрованным файлом, содержащим начальные значения для всех устройств партии. Этот файл импортируется администратором в систему eToken TMS. После этого для назначения устройства пользователю необходимо ввести его серийный номер (печатается на корпусе устройства).
В случае нарушения синхронизации счетчика генерации в устройстве и на сервере система eToken TMS позволяет легко ее восстановить — привести значение на сервере в соответствие значению, хранящемуся в устройстве. Для этого администратор системы или сам пользователь (при наличии соответствующих разрешений) должен сгенерировать два последовательных значения OTP и отправить их на сервер через web-интерфейс eToken TMS.
В целях повышения безопасности система eToken TMS позволяет использовать дополнительное значение OTP PIN — в этом случае для аутентификации пользователь, помимо имени пользователя и OTP, вводит дополнительное секретное значение OTP PIN. Это значение задается при назначении устройства пользователю.
USB-ключи и смарт-карты eToken (модельный ряд)
USB-ключи и смарт-карты eToken ГОСТ — персональные устройства, предназначенные для формирования квалифицированной электронной подписи и обеспечивающие безопасность операций пользователей в массовых и социальных проектах в системах:
Комбинированный USB-ключ с дополнительным модулем flash-памяти, сочетающий возможности смарт-карты и защищенного хранилища данных.
USB-ключ с генератором одноразовых паролей, не требующий подключения к компьютеру.
USB-ключ, предоставляющий возможность безопасного доступа к web-ресурсам с любого компьютера без предварительной установки программного обеспечения.
SafeNet eToken PASS
Уникальный для российского рынка аппаратный генератор одноразовых паролей (пластмассовый брелок), работающий в одном из режимов: синхронизация по событию или синхронизация по времени. В случае использования синхронизации по событию пользователь для каждого входа в целевое приложение формирует значение одноразового пароля, которое позволяет выполнить аутентификацию только для одной сессии. В случае повторного использования значения одноразового пароля доступ к целевой системе будет отклонен. В случае использования синхронизации по времени аппаратный генератор одноразовых паролей через одинаковый промежуток времени формирует значение одноразового пароля, которое позволяет выполнить аутентификацию только для одной сессии в рамках временного интервала (30 или 60 секунд). В случае выхода за пределы временного интервала значение одноразового пароля будет признано не валидным, доступ к целевой системе будет отклонен.
Аппаратный ключ SafeNet eToken PASS может быть использован как один из доступных аутентификаторов для пользователей в решении SafeNet Authentication Service (как в локальной, так и в облачной редакции).
Этот ключ рекомендуется использовать для рядовых пользователей для усиления функции базовой (парольной) аутентификации.
OTP алгоритм безопасности: OATH (HOTP и TOTP доступны в SHA-1 и SHA-256)
Длина OTP: 6 символов
Тип символов OTP: Цифры
Время жизни батареи: 5-7 лет.
Корпус: Твердый пластик, защита от вскрытия
Настраиваемые элементы корпуса: Цвет корпуса, логотип, серийный номер
Рабочая температура: 0ºC to 70ºC (32ºF to 158ºF)
eToken Pass Event
Ключ с генератором одноразовых паролей. Можно использовать для доступа по одноразовым паролям в: 1С-Bitrix, Open OTP, VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access. Ключ работает автономно, для его работы не нужно устанавливать драйвера.
Закажите eToken Pass сегодня, и вы сможете использовать:
Как рабоатет eToken Pass и для чего он нужен?
eToken PASS – ключ для автономной генерации одноразовых паролей (OTP). Не требует подключения к компьютеру и установки драйверов.
Нажимаете кнопку, получаете 6-значный одноразовый пароль для доступа к веб сайту или приложению. Вводите свой логин, постоянный пароль и пароль полученный от eToken Pass и получаете доступ к своей информации.
Безопасность обеспечивается за счет того что пароль, созданный eToken Pass, действует только один раз. Соответственно если ваш пароль был подсмотрен или перехвачен, второй раз им воспользоваться будет невозможно. Для повторного входа, нужно снова нажать кнопку и получить новый пароль.
Назначение eToken Pass
eToken Pass чаще всего использую для доступа к веб сервисам и порталам, разменным в интернет, когда нет возможности обеспечить строгую двухфакторую авторизацию. Например доступ к корпоративной почте Outlook Web Access.
Еще один популярный способ использования ключей это закрытые web порталы для доступа к которым нужны повышенные меры безопасности. Например закрытый портал платежной системы TrustPay для платежных агентов использует как раз ключи eToken Pass.
Использование одноразовых паролей можно внедрить в любую систему, Web портал или CMS, для этого нужен комплект разработчика eToken OTP SDK 2.0. Этот комплект разработчика позволяет легко внедрить поддержку входа на сайт по одноразовым паролям используя eToken Pass.
eToken Pass и 1С-Битрикс
В популярной CMS 1С-Битрикс уже реализована поддержка ключей eToken Pass. Если у вас сайт разработан на этой CMS то использовать ключи eToken Pass вы можете без каких-либо дополнительных затрат.
Поддержка eToken Pass работает во всех редакциях 1С-Битрикс кроме редакции Старт. Настройка eToken Pass находится в 1С-Битрикс, в модуле «Проактивная защита».
После настройки, для авторизации пользователя, использующего eToken Pass в 1С-Битрикс необходимо ввести логин пользователя и составной пароль, который состоит из слитного написания обычного пароля пользователя и значение одноразового пароля, полученное на eToken Pass.
Преимущества eToken Pass
Не нужно ничего устанавливать, ни драйвера, ни ПО.
Не нужно подключать к компьютеру.
Поддерживает любую ОС.
Можно работы через планшет или смартфон.
Одноразовый пароль действует только один раз, повторное использование кем-либо исключено.
Принцип работы eToken Pass
Вместе eToken Pass поставляется файл инициализации, в котором содержаться номер ключа и его секретные параметры, эти данные загружаются на сервер вашей системы при настройке и затем происходит синхронизация eToken Pass с сервером.
Вычисление одноразового пароля происходит по псевдослучайному вектору, иными словами зная текущее значение пароля и секретные данные eToken Pass, можно вычислить следующее значение одноразового пароля.
Именно так и происходит вычисление пароля на сервере, после удачной авторизации на севере происходит вычисление следующего пароля и система уже будет ждать его ввода.
Однако в данном случае может произойти ситуация при которой вы нажмете несколько раз кнопку на eToken Pass, а использовать эти пароли не будете, тогда ваш текущий пароль не совпадет со значением которое будет вычислено на сервере.
Окно синхронизации eToken Pass
Для решения подобных проблем есть параметр, который называется «окно синхронизации», он задает кол-во одноразовых паролей которые будет рассчитывать сервер при несовпадении ваших одноразовых паролей. Обычно это значение равно 10-15 паролям, если вы нажмете большее кол-во раз то выйдете за «окно синхронизации» и для дальнейшей работы потребуется повторная синхронизация с сервером, т.е. приведение значения на сервере в соответствие значению, хранящемуся в eToken Pass.
Способ генерации одноразового пароля в eToken Pass
Ключи eToken Pass бывают 2-х видов
eToken PASS
eToken PASS – автономный генератор одноразовых паролей, не требующий подключения к компьютеру и установки дополнительного программного обеспечения.
Назначение
Автономный генератор одноразовых паролей eToken PASS можно использовать для аутентификации в любых приложениях и службах, поддерживающих протокол аутентификации RADIUS – VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access и др.
Комплект разработчика eToken OTP SDK 2.0 позволяет легко добавить поддержку аутентификации по одноразовым паролям в собственные приложения.
Преимущества
Принцип работы
В eToken PASS реализован алгоритм генерации одноразовых паролей (One-Time Password – OTP), разработанный в рамках инициативы OATH. Этот алгоритм основан на алгоритме HMAC и хэш-функции SHA-1. Для расчета значения OTP принимаются два входных параметра – секретный ключ (начальное значение для генератора) и текущее значение счетчика (количество необходимых циклов генерации). Начальное значение хранится как в самом устройстве, так и на сервере в системе eToken TMS. Счетчик в устройстве увеличивается при каждой генерации OTP, на сервере – при каждой удачной аутентификации по OTP.
Партия устройств eToken PASS поставляется с зашифрованным файлом, содержащим начальные значения для всех устройств партии. Этот файл импортируется администратором в систему eToken TMS. После этого для назначения устройства пользователю необходим ввод его серийного номера (печатается на корпусе устройства).
В случае нарушения синхронизации счетчика генерации в устройстве и на сервере, система eToken TMS позволяет легко восстановить синхронизацию – привести значение на сервере в соответствие значению, хранящемуся в устройстве. Для этого администратор системы или сам пользователь (при наличии соответствующих разрешений) должен сгенерировать два последовательных значения OTP и отправить их на сервер через Web-интерфейс eToken TMS.
В целях усиления безопасности система eToken TMS позволяет использовать дополнительное значение OTP PIN – в этом случае для аутентификации пользователь помимо имени пользователя и OTP вводит дополнительное секретное значение OTP PIN. Это значение задается при назначении устройства пользователю.