อาร์เอสเอ เซคิวไอดี

เว็บไซต์	www.rsa.com/products/securid​​​​

RSA SecurIDเป็นกลไกที่พัฒนาโดยRSAเพื่อใช้ในการยืนยันตัวตนแบบสองขั้นตอนสำหรับผู้ใช้ในการเข้าถึงทรัพยากรเครือข่าย

กลไกการตรวจสอบสิทธิ์ RSA SecurID ประกอบด้วย " โทเค็น " ซึ่งอาจเป็นฮาร์ดแวร์ (เช่นพวงกุญแจ ) หรือซอฟต์แวร์ ( ซอฟต์โทเค็น ) ซึ่งจะถูกกำหนดให้กับผู้ใช้คอมพิวเตอร์ และจะสร้างรหัสการตรวจสอบสิทธิ์ในช่วงเวลาคงที่ (โดยปกติ 60 วินาที) โดยใช้นาฬิกาในตัวและรหัสสุ่ม เกือบ 100 หลักที่เข้ารหัสจากโรงงานของการ์ด (เรียกว่า "ซีด") ซีดจะแตกต่างกันสำหรับแต่ละโทเค็น และจะถูกโหลดลงในเซิร์ฟเวอร์ RSA SecurID ที่เกี่ยวข้อง (RSA Authentication Manager ซึ่งเดิมคือ ACE/Server ^{[ 1 ]} ) เมื่อมีการซื้อโทเค็น^{[ 2 ]}นอกจากนี้ยังมีโทเค็นแบบออนดีมานด์ ซึ่งจะส่งรหัสโทเค็นผ่านทางอีเมลหรือ SMS ทำให้ไม่จำเป็นต้องจัดเตรียมโทเค็นให้กับผู้ใช้

ฮาร์ดแวร์โทเค็นได้รับการออกแบบให้ทนต่อการดัดแปลงเพื่อป้องกันการวิศวกรรมย้อนกลับเมื่อมีการใช้งานซอฟต์แวร์ของอัลกอริทึมเดียวกัน ("โทเค็นซอฟต์แวร์") ปรากฏในตลาด ชุมชนด้านความปลอดภัยได้พัฒนาโค้ดสาธารณะที่อนุญาตให้ผู้ใช้จำลอง RSA SecurID ในซอฟต์แวร์ได้ แต่เฉพาะในกรณีที่พวกเขาสามารถเข้าถึงโค้ด RSA SecurID ปัจจุบัน และไฟล์เมล็ดพันธุ์ RSA SecurID 64 บิตดั้งเดิมที่ป้อนเข้าสู่เซิร์ฟเวอร์^{[ 3 ]}ต่อมา อัลกอริทึม RSA SecurID 128 บิตได้รับการเผยแพร่เป็นส่วนหนึ่งของไลบรารีโอเพนซอร์ส^{[ 4 ]}ในระบบการตรวจสอบสิทธิ์ RSA SecurID บันทึกเมล็ดพันธุ์คือรหัสลับที่ใช้ในการสร้าง^รหัสผ่านแบบใช้ครั้งเดียวเวอร์ชันใหม่กว่ายังมีตัวเชื่อมต่อ USB ซึ่งช่วยให้สามารถใช้โทเค็นเป็น อุปกรณ์คล้าย สมาร์ทการ์ดสำหรับการจัดเก็บใบรับรอง อย่างปลอดภัย [ ^{5 ]}

ผู้ใช้ที่ต้องการยืนยันตัวตนเพื่อเข้าถึงทรัพยากรเครือข่าย เช่น เซิร์ฟเวอร์แบบ dial-in หรือไฟร์วอลล์ จำเป็นต้องป้อนทั้งหมายเลขประจำตัวส่วนบุคคล (PIN)และหมายเลขที่แสดงอยู่ บนโทเค็น RSA SecurID ในขณะนั้นแม้ว่าจะพบได้น้อยลงเรื่อยๆ แต่บางระบบที่ใช้ RSA SecurID ก็ไม่จำเป็นต้องใช้ PIN เลย และใช้การผสมผสานระหว่างรหัสผ่านและรหัส RSA SecurID แทน เซิร์ฟเวอร์ซึ่งมีนาฬิกาแบบเรียลไทม์และฐานข้อมูลของบัตรที่ถูกต้องพร้อมระเบียน seed ที่เกี่ยวข้อง จะยืนยันตัวตนผู้ใช้โดยการคำนวณว่าโทเค็นควรแสดงหมายเลขใดในขณะนั้น และตรวจสอบกับสิ่งที่ผู้ใช้ป้อน

ใน SecurID เวอร์ชันเก่ากว่า อาจใช้ "รหัส PIN บังคับ" ซึ่งเป็นรหัสทางเลือกที่สร้างบันทึกเหตุการณ์ด้านความปลอดภัยที่แสดงว่าผู้ใช้ถูกบังคับให้ป้อนรหัส PIN ในขณะที่ยังคงให้การตรวจสอบสิทธิ์แบบโปร่งใส^{[ 6 ]}การใช้รหัส PIN บังคับจะอนุญาตให้ตรวจสอบสิทธิ์สำเร็จได้หนึ่งครั้ง หลังจากนั้นโทเค็นจะถูกปิดใช้งานโดยอัตโนมัติ คุณสมบัติ "รหัส PIN บังคับ" ถูกยกเลิกแล้วและไม่มีในเวอร์ชันที่รองรับในปัจจุบัน

แม้ว่าระบบ RSA SecurID จะเพิ่มชั้นความปลอดภัยให้กับเครือข่าย แต่ปัญหาอาจเกิดขึ้นได้หากนาฬิกาของเซิร์ฟเวอร์การตรวจสอบสิทธิ์ไม่ตรงกับนาฬิกาที่ติดตั้งอยู่ในโทเค็นการตรวจสอบสิทธิ์ โดยปกติแล้ว การคลาดเคลื่อนของนาฬิกาโทเค็นจะถูกแก้ไขโดยอัตโนมัติโดยเซิร์ฟเวอร์โดยการปรับค่า "drift" ที่จัดเก็บไว้เมื่อเวลาผ่านไป หากสภาวะที่ไม่ตรงกันไม่ได้เกิดจากการคลาดเคลื่อนของนาฬิกาฮาร์ดแวร์โทเค็นตามปกติ การแก้ไขการซิงโครไนซ์ของนาฬิกาเซิร์ฟเวอร์ Authentication Manager กับโทเค็นที่ไม่ตรงกัน (หรือหลายโทเค็น) สามารถทำได้หลายวิธี หากนาฬิกาของเซิร์ฟเวอร์คลาดเคลื่อนและผู้ดูแลระบบได้ทำการเปลี่ยนแปลงนาฬิกาของระบบ โทเค็นสามารถซิงโครไนซ์ใหม่ทีละตัว หรือปรับค่า drift ที่จัดเก็บไว้ด้วยตนเองได้ การปรับค่า drift สามารถทำได้กับโทเค็นแต่ละตัวหรือทำพร้อมกันโดยใช้ยูทิลิตี้บรรทัดคำสั่ง

RSA Security ได้ผลักดันโครงการริเริ่มที่เรียกว่า "การตรวจสอบสิทธิ์แบบครอบคลุม" โดยร่วมมือกับผู้ผลิตอุปกรณ์ เช่นIronKey , SanDisk , Motorola , Freescale Semiconductor , Redcannon, BroadcomและBlackBerryเพื่อฝังซอฟต์แวร์ SecurID ลงในอุปกรณ์ที่ใช้ในชีวิตประจำวัน เช่น แฟลชไดรฟ์ USB และโทรศัพท์มือถือ เพื่อลดต้นทุนและจำนวนอุปกรณ์ที่ผู้ใช้ต้องพกพา^{[ 7 ]}

รหัสโทเค็นถูกขโมยได้ง่าย เนื่องจากไม่มีการตรวจสอบความถูกต้องร่วมกัน (สิ่งใดก็ตามที่สามารถขโมยรหัสผ่านได้ ก็สามารถขโมยรหัสโทเค็นได้เช่นกัน) นี่เป็นเรื่องสำคัญ เนื่องจากเป็นภัยคุกคามหลักที่ผู้ใช้ส่วนใหญ่เชื่อว่าพวกเขากำลังแก้ไขด้วยเทคโนโลยีนี้

จุดอ่อนที่พบได้บ่อยที่สุดและแก้ไขได้ง่ายที่สุดของระบบจัดเก็บรหัสผ่านใดๆ ก็คือ การทำอุปกรณ์กุญแจพิเศษหรือสมาร์ทโฟนที่เปิดใช้งานแล้วซึ่งมีฟังก์ชันกุญแจในตัวหาย จุดอ่อนดังกล่าวไม่สามารถแก้ไขได้ด้วยอุปกรณ์จัดเก็บโทเค็นเพียงตัวเดียวภายในระยะเวลาที่กำหนดไว้ การพิจารณาเพิ่มเติมทั้งหมดจึงมุ่งเน้นไปที่การป้องกันการสูญหาย เช่น การใช้สายรัดอิเล็กทรอนิกส์เพิ่มเติม หรือเซ็นเซอร์ตรวจจับการเคลื่อนไหวและระบบเตือนภัย

แม้ว่าโทเค็น RSA SecurID จะให้การป้องกันในระดับหนึ่งต่อการโจมตีแบบเล่นซ้ำ รหัสผ่าน แต่ก็ไม่ได้ออกแบบมาเพื่อป้องกัน การโจมตีแบบ คนกลาง (Man-in-the-Middle)หากใช้เพียงอย่างเดียว หากผู้โจมตีสามารถบล็อกผู้ใช้ที่ได้รับอนุญาตไม่ให้เข้าสู่ระบบเซิร์ฟเวอร์ได้จนกว่ารหัสโทเค็นถัดไปจะถูกต้อง พวกเขาก็จะสามารถเข้าสู่ระบบเซิร์ฟเวอร์ได้ การวิเคราะห์ตามความเสี่ยง (Risk-based analytics หรือ RBA) ซึ่งเป็นคุณสมบัติใหม่ในเวอร์ชันล่าสุด (8.0) ให้การป้องกันอย่างมีนัยสำคัญต่อการโจมตีประเภทนี้ หากผู้ใช้เปิดใช้งานและเข้าสู่ระบบบนเอเจนต์ที่เปิดใช้งาน RBA RSA SecurID ไม่สามารถป้องกัน การโจมตีแบบ คนกลางในเบราว์เซอร์ (MitB) ได้

เซิร์ฟเวอร์การตรวจสอบสิทธิ์ SecurID พยายามป้องกันการดักจับรหัสผ่านและการเข้าสู่ระบบพร้อมกันโดยการปฏิเสธคำขอการตรวจสอบสิทธิ์ทั้งสอง หากมีข้อมูลประจำตัวที่ถูกต้องสองรายการปรากฏภายในกรอบเวลาที่กำหนด เรื่องนี้ได้รับการบันทึกไว้ในโพสต์ที่ไม่ได้รับการตรวจสอบโดย John G. Brainard ^{[ 8 ]}อย่างไรก็ตาม หากผู้โจมตีลบความสามารถในการตรวจสอบสิทธิ์ออกจากผู้ใช้ เซิร์ฟเวอร์ SecurID จะถือว่าผู้ใช้เป็นผู้ตรวจสอบสิทธิ์จริง ๆ และจะอนุญาตให้ผู้โจมตีตรวจสอบสิทธิ์ผ่านได้ ภายใต้รูปแบบการโจมตีนี้ ความปลอดภัยของระบบสามารถปรับปรุงได้โดยใช้กลไกการเข้ารหัส/การตรวจสอบสิทธิ์เช่น SSL

แม้ว่าซอฟต์โทเค็นอาจสะดวกกว่า แต่นักวิจารณ์ระบุว่า คุณสมบัติ ที่ป้องกันการปลอมแปลงของฮาร์ดโทเค็นนั้นไม่มีใครเทียบได้ในการใช้งานซอฟต์โทเค็น^{[ 9 ]}ซึ่งอาจทำให้คีย์ลับของบันทึกเมล็ดพันธุ์ถูกทำซ้ำและเกิดการปลอมตัวของผู้ใช้ได้

ในทางกลับกัน โทเค็นแบบฮาร์ดแวร์นั้นสามารถถูกขโมยทางกายภาพ (หรือได้มาโดยวิธีการทางสังคม ) จากผู้ใช้ปลายทางได้ ขนาดที่เล็กทำให้การขโมยโทเค็นแบบฮาร์ดแวร์ทำได้ง่ายกว่าการสแกนแล็ปท็อป/เดสก์ท็อปมาก ผู้ใช้มักจะรอมากกว่าหนึ่งวันก่อนที่จะแจ้งว่าอุปกรณ์หาย ทำให้ผู้โจมตีมีเวลามากพอที่จะเจาะระบบที่ไม่มีการป้องกัน อย่างไรก็ตาม เหตุการณ์นี้จะเกิดขึ้นได้ก็ต่อเมื่อทราบ UserID และ PIN ของผู้ใช้เท่านั้น การวิเคราะห์ตามความเสี่ยงสามารถให้การป้องกันเพิ่มเติมจากการใช้โทเค็นที่สูญหายหรือถูกขโมย แม้ว่าผู้โจมตีจะทราบ UserID และ PIN ของผู้ใช้ก็ตาม

แบตเตอรี่จะหมดเป็นระยะ ทำให้ต้องเปลี่ยนและลงทะเบียนใหม่ด้วยขั้นตอนที่ค่อนข้างซับซ้อน

ณ ปี 2546 RSA SecurID ครองส่วนแบ่งตลาดการตรวจสอบสิทธิ์แบบสองปัจจัยมากกว่า 70% ^{[ 10 ]}และมีการผลิตอุปกรณ์ไปแล้วกว่า 25 ล้านเครื่อง คู่แข่งหลายราย เช่นVASCOผลิตโทเค็นความปลอดภัย ที่คล้ายกัน โดยส่วนใหญ่ใช้ มาตรฐาน OATH HOTP แบบเปิด การศึกษาเกี่ยวกับ OTP ที่เผยแพร่โดยGartnerในปี 2553 ระบุว่า OATH และ SecurID เป็นคู่แข่งเพียงรายเดียว^{[ 11 ]}

ระบบการตรวจสอบสิทธิ์เครือข่ายอื่นๆ เช่นOPIEและS/Key (บางครั้งเรียกกันทั่วไปว่าOTPเนื่องจาก S/Key เป็นเครื่องหมายการค้าของTelcordia Technologiesซึ่งเดิมคือBellcore ) พยายามที่จะให้การตรวจสอบสิทธิ์ในระดับ "สิ่งที่คุณมี" โดยไม่จำเป็นต้องใช้โทเค็นฮาร์ดแวร์

เมื่อวันที่ 17 มีนาคม 2554 RSA ประกาศว่าพวกเขาตกเป็นเหยื่อของ "การโจมตีทางไซเบอร์ที่ซับซ้อนอย่างยิ่ง" ^{[ 12 ]}ความกังวลเกิดขึ้นโดยเฉพาะอย่างยิ่งเกี่ยวกับระบบ SecurID โดยระบุว่า "ข้อมูลนี้อาจถูกนำไปใช้เพื่อลดประสิทธิภาพของการตรวจสอบสิทธิ์แบบสองปัจจัยในปัจจุบัน" อย่างไรก็ตามการส่งแบบฟอร์ม 8-K อย่างเป็นทางการ ^{[ 13 ]}ระบุว่าพวกเขาไม่เชื่อว่าการละเมิดจะมี "ผลกระทบอย่างมีนัยสำคัญต่อผลประกอบการทางการเงิน" การละเมิดดังกล่าวทำให้ EMC ซึ่งเป็นบริษัทแม่ของ RSA ต้องเสียค่าใช้จ่าย 66.3 ล้านดอลลาร์ ซึ่งถูกบันทึกเป็นค่าใช้จ่ายในกำไรไตรมาสที่สอง ค่าใช้จ่ายนี้ครอบคลุมค่าใช้จ่ายในการสืบสวนการโจมตี เสริมความแข็งแกร่งให้กับระบบไอที และตรวจสอบธุรกรรมของลูกค้าองค์กร ตามที่ David Goulden รองประธานบริหารและประธานเจ้าหน้าที่ฝ่ายการเงินของ EMC กล่าวในการประชุมทางโทรศัพท์กับนักวิเคราะห์^{[ 14 ]}

การเจาะระบบเครือข่ายของ RSA เกิดขึ้นจากแฮกเกอร์ที่ส่ง อีเมล ฟิชชิ่งไปยังพนักงาน RSA สองกลุ่มเล็กๆ ที่เป็นเป้าหมาย^{[ 15 ]} ไฟล์ Microsoft Excel ที่แนบมากับอีเมลนั้นมีมัลแวร์ อยู่ เมื่อพนักงาน RSA เปิดไฟล์ Excel มัลแวร์จะใช้ประโยชน์จากช่องโหว่ในAdobe Flashการ ใช้ ประโยชน์จากช่องโหว่ นี้ ทำให้แฮกเกอร์สามารถใช้Poison Ivy RATเพื่อควบคุมเครื่องและเข้าถึงเซิร์ฟเวอร์ในเครือข่ายของ RSA ได้^{[ 16 ]}

มีข้อบ่งชี้บางประการว่าการละเมิดเกี่ยวข้องกับการขโมยฐานข้อมูลของ RSA ที่แมปหมายเลขซีเรียลโทเค็นกับ "เมล็ดพันธุ์" โทเค็นลับที่ถูกฉีดเข้าไปเพื่อให้แต่ละโทเค็นมีเอกลักษณ์เฉพาะตัว^{[ 17 ]}รายงานของผู้บริหาร RSA ที่บอกลูกค้าให้ "ตรวจสอบให้แน่ใจว่าพวกเขาปกป้องหมายเลขซีเรียลบนโทเค็นของพวกเขา" ^{[ 18 ]}ทำให้สมมติฐานนี้มีความน่าเชื่อถือ

RSA ระบุว่าไม่ได้เปิดเผยรายละเอียดเกี่ยวกับขอบเขตของการโจมตีเพื่อไม่ให้ผู้โจมตีที่มีศักยภาพได้รับข้อมูลที่พวกเขาสามารถนำไปใช้ในการหาวิธีโจมตีระบบได้^{[ 19 ]}

เมื่อวันที่ 6 มิถุนายน 2554 RSA ได้เสนอบริการเปลี่ยนโทเค็นหรือบริการตรวจสอบความปลอดภัยฟรีให้กับลูกค้า SecurID กว่า 30,000 ราย หลังจากความพยายามโจมตีทางไซเบอร์ต่อลูกค้าด้านการป้องกันประเทศอย่าง Lockheed Martinซึ่งดูเหมือนจะเกี่ยวข้องกับข้อมูล SecurID ที่ถูกขโมยไปจาก RSA ^{[ 20 ]}แม้จะเกิดการโจมตีลูกค้าด้านการป้องกันประเทศรายหนึ่ง ประธานบริษัท Art Coviello กล่าวว่า "เราเชื่อและยังคงเชื่อว่าลูกค้าได้รับการปกป้อง" ^{[ 21 ]}

ในเดือนเมษายน พ.ศ. 2554 มีข่าวลือที่ไม่ได้รับการยืนยันระบุว่าL-3 Communicationsถูกโจมตีอันเป็นผลมาจากการรั่วไหลของ RSA ^{[ 22 ]}

ในเดือนพฤษภาคม พ.ศ. 2554 ข้อมูลนี้ถูกนำไปใช้โจมตีระบบของล็อกฮีดมาร์ติน^{[ 23 ] [ 24 ]}อย่างไรก็ตาม ล็อกฮีดมาร์ตินอ้างว่าเนื่องจาก "การดำเนินการเชิงรุก" โดย ทีม รักษาความปลอดภัยข้อมูล ของบริษัท "ไม่มีข้อมูลส่วนบุคคลของลูกค้า โปรแกรม หรือพนักงาน" ใดถูกบุกรุกจาก "การโจมตีครั้งสำคัญและรุนแรง" นี้^{[ 25 ]}กระทรวงความมั่นคงแห่งมาตุภูมิและกระทรวงกลาโหมสหรัฐฯได้เสนอความช่วยเหลือในการกำหนดขอบเขตของการโจมตี^{[ 26 ]}

Wikimedia Commons มีสื่อที่เกี่ยวข้องกับRSA SecurID

• เว็บไซต์อย่างเป็นทางการ

รายละเอียดทางเทคนิค

• ตัวอย่างโปรแกรมจำลองโทเค็น SecurID พร้อมการนำเข้าข้อมูลลับโทเค็น จาก ICWiener, Bugtraq post
• จุดอ่อนที่เห็นได้ชัดในโปรโตคอลไคลเอ็นต์/เซิร์ฟเวอร์ของ Security Dynamics โดย Adam Shostack, 1996
• กระทู้ Usenet ที่พูดคุยเกี่ยวกับรายละเอียดใหม่ของ SecurIDโดย Vin McLellan และคณะในcomp.security.misc
• ข้อมูล SecurID อย่างไม่เป็นทางการและความพยายามในการวิเคราะห์ย้อนกลับบางส่วนจาก Yahoo Groups securid- users
• การวิเคราะห์ความเสี่ยงที่อาจเกิดขึ้นจากการรั่วไหลของข้อมูลในปี 2011

มีการเผยแพร่การโจมตีต่อฟังก์ชันแฮชของ SecurID

• การวิเคราะห์การเข้ารหัสของฟังก์ชันแฮช SecurID ที่ถูกกล่าวหา (PDF) โดยAlex Biryukov , Joseph LanoและBart Preneel
• การวิเคราะห์การเข้ารหัสข้อมูล SecurID ที่ได้รับการปรับปรุง (PDF) โดย Scott Contini และYiqun Lisa Yin
• การโจมตี SecurID ด้วยซอฟต์แวร์อย่างรวดเร็ว (PDF) โดย Scott Contini และYiqun Lisa Yin