Il mio ufficio è passato dall'utilizzo dei token di chiavi RSA SecurID hardware vecchi ai token software RSA SecurID e molti utenti li hanno installati sulle stesse macchine che usano per accedere al VPN.
Ho chiesto ai nostri addetti alla sicurezza (che rispetto) e mi hanno detto che andava bene. L'autenticazione a due fattori consiste nel "Qualcosa che hai" il PC stesso e nella "Qualcosa che conosci" la tua password per entrare nel PC e il PIN per il token software.
Mi sembra che avere entrambi sullo stesso dispositivo riduca effettivamente a una password in due parti. Digiti il tuo nome utente e password (alcuni passaggi nel mezzo) e il tuo PIN. Avere un'unica password, anche se è in più parti con il software RSA nel mezzo, è l'autenticazione a fattore singolo.
In tutta onestà, i dischi vengono crittografati in modo che i malintenzionati non possano entrare facilmente nel sistema, quindi siamo abbastanza sicuri ma tutti pensano di essere al sicuro. Questa è l'idea alla base del rendere le cose difficili per i cattivi. Qual è il punto di passare attraverso i movimenti di due fattori senza implementarlo correttamente?
Ho guardato e guardato sul Web e l'unica cosa che riesco a trovare è il sito web RSA in cui dicono che tutto va bene con il loro prodotto, che è quello che mi aspetterei che dicessero.
Apprezzerei alcuni argomenti convincenti che chiunque può fare, in un modo o nell'altro. Se tu potessi fornire un collegamento a qualcosa di solido che io possa salutare in faccia e dire "Lì, te l'avevo detto!" sarebbe grandioso. Se hai qualcosa di solido da mostrarmi sto abbaiando dall'albero sbagliato, sarò lieto di accettare anche quello.
Devo aggiungere che il modo in cui il software RSA funziona è che digito il mio PIN "12345678" e risponde con il suo valore codificato "31415926" che cambia ogni minuto. Se digito qualcosa tranne il mio PIN, funzionerà esattamente allo stesso modo, ma il codice fornito non consentirà l'autenticazione. Se ho un keylogger sul mio sistema, registrerà il PIN inserito e i cattivi saranno in grado di entrare nella VPN, purché abbiano accesso al mio sistema . Se dovessero clonare la mia macchina e non applicare il lavoro SensePost applicato in il loro test , sarebbero in grado di accedere la VPN se avessero il PIN. RSA sostiene che tutto è perfetto in la loro risposta .
La buona notizia è che i dischi sulle nostre macchine sono veramente crittografati, ho controllato. La cattiva notizia è che non è necessario inserire una password per l'avvio in modo che la chiave di crittografia sia archiviata sul disco crittografato. Il sito web di Sophos SafeGuard dice che la chiave "è divisa in parti diverse e memorizzata nel ... kernel." Questo suona come "sicurezza attraverso l'oscurità" per me. Se un avversario determinato dovesse registrare le mie sequenze di tasti e rubare la mia macchina, avrebbe accesso alla nostra VPN.