RSA SecurID Software Token

Продукт
Название базовой системы (платформы): RSA Authentication Manager
Разработчики: RSA (Security Division of EMC)
Технологии: ИБ - Аутентификация

Содержание

Программное обеспечение, построенное на базе технологии RSA SecurID, позволяет использовать мобильное устройство в качестве удостоверения личности при получении доступа к корпоративным системам и данным. Решение обеспечивает возможность проведения качественной двухфакторной аутентификации пользователей и минимизирует вероятность несанкционированного доступа к ресурсам.

Продукт адресован тем организациям, которые уже используют систему RSA SecurID для проверки подлинности пользователей. ПО RSA SecurID Software Token может устанавливаться непосредственно на Android-устройство путем загрузки инсталляционного пакета с сайта Android Market и используется для генерирования одноразового пароля, обновляемого каждые 60 секунд и обеспечивающего безопасный доступ к ресурсам. Для развертывания предлагаемых защитных механизмов и централизованного управления ими может использоваться продукт RSA Authentication Manager.

Ключевое преимущество решения заключается в том, что рядовые сотрудники организации смогут пользоваться им самостоятельно, обращаясь за помощью к IT-специалистам лишь в случае возникновения проблем. RSA также предлагает вниманию разработчиков новый SDK-инструментарий для платформы Android, который позволит создателям мобильного программного обеспечения гарантировать повышенную безопасность собственных продуктов за счет интеграции в них ведущих в отрасли механизмов двухфакторной аутентификации RSA SecurID.

2017: RSA SecurID Access

Компания RSA объявила в начале года о крупном обновлении платформы SecurID, обеспечивающем больше вариантов доступа и анализа защищенности, чтобы помочь организациям поддерживать безопасность идентификационных данных и доступа[1].

Среди расширенных возможностей гарантированной идентификации в портфеле SecurID Access имеются облачный и мобильный варианты, а также развитые средства анализа рисков.

Мобильное приложение для многофакторной аутентификации, которое является частью расширенного портфеля SecurID Access, обеспечивает новые варианты аутентификации, включая биометрию. Дополнительно RSA теперь добавила в технологию мобильной аутентификации контекстный анализ рисков.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга 2.4 т

В портфеле RSA имеются и другие технологии анализа защищенности, включая продукт NetWitness, который использует аналитику, чтобы помочь идентифицировать потенциальные атаки и укрепить безопасность. Дюшарм пояснил, что SecurID применяет анализ рисков для обеспечения более высокой степени целостности аутентификации пользователей.

К улучшенным возможностям нового портфеля RSA SecurID Access относится развертывание функций гарантированной идентификации в облаке. Защита доступа к облачным приложениям — это та область, в которой часто применяются технологии Cloud Access Security Broker (CASB).

2012: RSA SecurID взломали за 13 минут

Обнаруженная исследователями уязвимость позволяет скомпрометировать криптографические устройства, работающие на основе стандарта PKCS#11.

Исследователи Ромен Бардоу (Romain Bardou), Лоренцо Симионато (Lorenzo Simionato), Грэм Стил (Graham Steel), Джо-Кай Цай (Joe-Kai Tsay), Риккардо Фокарди (Riccardo Focardi) и Юсуке Кавамото (Yusuke Kawamoto) опубликовали свой доклад «Efficient padding oracle attacks on cryptographic hardware», в котором описали уязвимость, позволяющую раскрывать импортированные ключи из различных криптографических устройств, которые работают на основе стандарта PKCS#11.

Данный стандарт используется среди прочего и в токенах RSA SecurID от компании EMC, являющейся одним из крупнейших производителей в данной сфере. Крупные корпорации, государственные учреждения и малый бизнес приобретают эти брелоки для своих сотрудников, чтобы они могли безопасно проходить авторизацию на своих системах.

Экспертам удалось разработать метод взлома, требующий всего 13 минут для компрометации криптографического устройства. Представитель EMC Кевин Кемпски (Kevin Kempskie), в свою очередь, прокомментировал отчет, заявив, что их собственные эксперты изучили его, что бы проверить «является ли данное исследование правдивым».

По словам К. Кемпски, исследователям удалось сократить среднестатистическое количество запросов, необходимых для взлома 1024-битного ключа с 215 тысяч до 9,4 тысяч. Данная статистика, по мнению представителя EMC, свидетельствует о том, что эта атака «достаточно эффективна, чтобы быть практичной».

Группа исследователей также отметила, что их метод взлома применим к таким продуктам как Aladdin eTokenPro, Siemens CardOS и Gemalto CyberFlex. Кроме того, аналогичная уязвимость содержится в эстонских идентификационных смарт-картах, которые сопоставимы с паспортом

Примечания



ПРОЕКТЫ (1) ИНТЕГРАТОРЫ (1) РЕШЕНИЕ НА БАЗЕ (1)
СМ. ТАКЖЕ (5)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (55)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (36)
  Информзащита (32)
  Другие (848)

  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  СэйфТек (SafeTech) (3)
  Другие (52)

  Индид, Indeed (ранее Indeed ID) (8)
  Информзащита (2)
  Deiteriy (Дейтерий) (2)
  Softline (Софтлайн) (2)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  ОКТРОН (3)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  Другие (53)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  Сканпорт АйДи (Scanport) (2)
  СэйфТек (SafeTech) (2)
  МСС Международная служба сертификации (2)
  Другие (40)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 56)
  СэйфТек (SafeTech) (6, 38)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (471, 229)

  СэйфТек (SafeTech) (1, 3)
  МегаФон (1, 2)
  Konica Minolta (Коника Минолта) (1, 1)
  Shenzhen Chainway Information Technology (1, 1)
  ГК ОТР (1, 1)
  Другие (3, 3)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  СэйфТек (SafeTech) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  IT-Lite (АйТи Лайт) (1, 1)
  Другие (2, 2)

  СэйфТек (SafeTech) (1, 3)
  Shenzhen Chainway Information Technology (1, 2)
  1IDM (АйТи Солюшнз) (1, 1)
  Right line (Райт лайн) (1, 1)
  VK (ранее Mail.ru Group) (1, 1)
  Другие (7, 7)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45
  FalconGaze SecureTower - 38
  3-D Secure (3D-Secure) - 23
  PayControl - 23
  Avanpost IDM Access System - 20
  Другие 270

  PayControl - 3
  МегаФон Мобильный ID - 2
  JaCarta Authentication Server (JAS) - 1
  ОТР.Опора - 1
  Multifactor Сервис многофакторной аутентификации - 1
  Другие 3

  Indeed Access Manager (Indeed AM) - 6
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
  Indeed PAM - Indeed Privileged Access Manager - 2
  Avanpost IDM Access System - 1
  Solar webProxy Шлюз веб-безопасности - 1
  Другие 1

  Indeed Access Manager (Indeed AM) - 7
  Shenzhen Chainway C-серия RFID-считывателей - 6
  PayControl - 4
  Aladdin 2FA - 3
  Indeed PAM - Indeed Privileged Access Manager - 3
  Другие 7

  PayControl - 3
  Shenzhen Chainway C-серия RFID-считывателей - 2
  МТС ID - 1
  1IDM - Управление учетными записями и правами доступа - 1
  Spacebit X-Control АОКЗ (Система автоматизации органов криптографической защиты) - 1
  Другие 7