— Wizzard (15/03/2004 10:09)   
AFAIK токены это самое лучшее, пароль дальше токена никогда никуда не уходит, следовательно скопировать его очень сложно (невозможно?), также плюсами пунктов 2 и 3 является их материальность, а уж с обычными ключами пользователи умеют обращаться намного лучше чем с паролями.

— SATtva (15/03/2004 12:51)   
Токены и смарт-карты не неуязвимы, существуют атаки, направленные на извлечение закрытого ключа из невзламываемого криптомодуля. По этой причине на недавней RSA Conference 2004 компании RSADSI и Майкрософт предложили способ аутентификации SecurID. Будет реализован во втором сервис-паке к ХР. Использует комбинацию из перманентного пароля и генерируемого в смарт-карте или программно skey — пароля сеансового. Это раз.

RFID — радиочастотные идентификационные модули от той же RSADSI. Используются сегодня как опознавательные маячки, позволяющие безошибочно идентифицировать объект, к которому прикреплены. Объектом может быть и человек. Есть, правда, предположения, что такая технология может легко использоваться для тотальной слежки за всем и вся, но, опять же, на RSA Conference в этом году RSADSI представила и контрмеру — небольшую заглушку, "забивающую" и искажающую сигнал RFID так, что идентифицировать его становится невозможно. В общем, технология, как отметил в форуме, по-моему, Maxi, как бы сочетает в себе и биометрию, и принцип действия смарт-карт.

Самым надёжным на сегодня считается механизм трёхфакторной идентификации: по паролю (его субъект знает), по смарт-карте (её субъект имеет) и по биометрическим данным (которые и есть сам субъект). Схемы, реализующие названные механизмы по отдельности, относительно легко скомпрометировать. В комплексе — практически невозможно.

— paranoid ant (15/03/2004 15:05)   
SATtva, спасибо, очень интересно

а если рассмотреть всё вышеназванное в практической плоскости. Для работы с usb токенами и с таблетками есть PAM модули для linux, в win эти артефакты тоже поддерживаються. C остальным — проблема.

— SATtva (18/03/2004 16:36)   
Вот неплохая обзорная статья о методиках аутентификации в компьютерных системах, как раз по теме дискуссии.
http://www.infosecurity.ru/_ga.....040316/article1.html^[link1]

— Гость (19/04/2004 17:09)   
* Использовали на практике трехфакторную систему аутентификации: токен+ пин-код на него+биометрический отпечаток пальца – интересное решение, но несколько паронояльное :) И единственное в России (СНГ).
* токены – широко распространенное в России средство беспарольной аутентификации, прежде всего используется в больших PKI решениях на предприятиях. Это Microsoft PKI, Baltimore (Betrusted), RSA Keon, Entrust... Ну и PGP как младший брат таких систем, тоже можно применять :)
Чисто биометрические методы тоже широко используются: именно для аутетификации, а не только для идентификации: используется связка – учетная запись ассоциируется с конкретной учетной запись в домене либо NDS.
Под Линукс также имеются модули для аутентификации через PAM.
Вообще тема достаточно обширна... В России проводятся конференции, где можно все это показать – обсудить. В больших системных интеграторах (как в нашем, в частности) имеются стенды, где можно все это увидеть, при желании и покупательских способностях :)
Отдельный пласт Single-sign-on...

— serzh (20/04/2004 20:57)   

SATtva:
Токены и смарт-карты не неуязвимы, существуют атаки, направленные на извлечение закрытого ключа из невзламываемого криптомодуля.

Если можно с этого места по подробнее. Просто схема или ссылка на таковую.

— SATtva (27/04/2004 12:53)   
Классификация атак на смарт-карты и довольно подробное описание атак со взломом можно найти в этой статье — http://www.win.tue.nl/~henkvt/Invasive_attacks.pdf. Авторы — сотрудники GemPlus, так что компетентность их в этом вопросе, полагаю, весьма высока.

Материалы по другим методикам взлома, прежде всего, по логическим атакам, можете самостоятельно в Сети найти.