RSA SecurID Token není bezpečný, jeho funkce se dá zkopírovat

23. 5. 2012

Sdílet

Bezpečnostní analytik společnosti SensePost vymyslel a publikoval postup, kterým je možné napodobit funkci softwarového generátoru jednorázových hesel v tokenu RSA SecurID. Díky několika snadným krokům je možné si generovat stejná čísla, která generuje softwarový token. O něm výrobce tvrdí, že jej není možné zkopírovat.

Metoda je postavena na reverzním inženýringu knihovny pro Windows, která generuje jednorázová hesla. Behrang Fouladi přišel na to, že je možné z tohoto software získat informace, které se používají při generování pseudonáhodných hesel. Se znalostí těchto informací je možné si softwarově generovat stejná čísla.

Teoreticky tedy stačí, aby kterýkoliv počítač, na který se tokenem přihlašujete, byl napaden útočníkem nebo nějakým vhodným škodlivým kódem a bezpečnost vašeho tokenu je prolomena. Útočník se znalostí vektoru využívaného pro generování hesel si tak může libovolně generovat hesla za vás a pomocí tohoto falešného tokenu se pak přihlásit ke všem vašim dalším počítačům. Potenciálně je prý ohroženo asi 40 milionů uživatelé této technologie.

(Zdroj: Slashdot)

Našli jste v článku chybu?

Autor zprávičky

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.