Názory k článku
RSA SecurID Token není bezpečný, jeho funkce se dá zkopírovat

ale tam jde prece o SW token, ne o ten HW co je na obrazku....

Aha takze pokud pouzivate ten token pro prihlaseni do AD, VPN, ... treba pres radius tak je to v pohode. Problem je jen kdyz mate na svem lokalnim disku aplikaci pro offline overovani. Z jeji databaze se pak da vypacit iniciacni vektor pro vas token.

ne, to s tim HW tokenem nema vubec nic spolecneho.. cele je to o SW verzi tokenu (dela to same co ten HW, jen to neni zadny "privesek" ale software ve windows o nemz vyrobce (RSA) tvrdi ze jej nelze zkopirovat (cemuz ale nikdo rozumny nemuze verit, ze?)

tl;dr: Clanek popisuje jak zduplikovat box co neni tamper resistant.

SecurID sw tokeny v mission critical vecech prolomeny nejsou, protoze znackovy HW ma z drtive vetsiny TPM - typicky se jedna o "trusted" workstejsny.

Horsi uz je to v pripadech virtualnich masin.

konkretne:

Softwarove implementace securid na strojich bez TPM, nemohou byt z podstaty veci funkcni. Proste prijdu, zkopiruju master klic a serial, jine by to nebylo napr ani u X509. V pripade securid se o tom vi uz pres 10 let (http://www.comms.engg.susx.ac.uk/fft/crypto/initial_securid_analysis.pdf).

RSA totiz prohlasuje ze je vse OK, ale uz nezminuje podstatny detail ze bez TPM se vse pouze sw emuluje v DPAPI, a tudiz nepouzitelne k rozumne mire zabezpeceni.