SecurID je tokenový systém nebo autentizátor, který vyrábí společnost RSA Security a jehož cílem je nabídnout svému uživateli silné ověření jako součást přístupu k informačnímu systému .
Funguje na principu jednorázového hesla (OTP nebo jednorázové heslo ) na základě sdíleného tajemství ( seed ). Většina tokenů SecurID zobrazuje šestimístný kód („TokenCode“), který se obvykle mění každou minutu. Uživatel přidá osobní PIN kód do TokenCode načteného na autentizátoru SecurID. Celá věc se nazývá PassCode (tj. PassCode = PIN kód + TokenCode). Během ověřování vypočítá silný ověřovací server TokenCode ze svých hodin (čas UTC) a přidá PIN kód své databáze a poté jej porovná s kódem poskytnutým uživatelem. Pokud se PassCode shoduje, ověření je úspěšné. Hodiny SecurID se někdy synchronizují s hodinami ověřovacího serveru. Token navíc vyprší po určité době (3 až 5 let v závislosti na modelu).
Tento systém tokenů, typ OTP, se používá pro webové aplikace (například eBanking) a technologie typu VPN ( IPSEC , SSL ), SSH, Citrix. Ve Francii národní vzdělávací systém zobecnil své použití mezi učitelskou populací, zejména v rámci Sconetu (zejména zápis známek).
Použití OTP chrání řešení RSA SecurID před útoky opakování : útočník, který úspěšně získal OTP (například pomocí keyloggeru ), se nemůže autentizovat.
Kromě toho lze uvažovat o několika útocích ovlivňujících RSA SecurID:
Zneužití absence ověření serveruŘešení RSA SecurID neimplementuje žádný mechanismus autentizace serveru. Útočník si pak může představit scénář, ve kterém uživatel zadá své OTP na stránce vytvořené útočníkem, ale jehož vzhled se podobá původnímu webu. Útočník je tak schopen obnovit nepoužitý token, což mu umožňuje autentizaci na původním webu.
K překonání takového scénáře je nutné ověřit server. To lze provést pomocí protokolu SSL, který používá digitální certifikát. Tento soubor musí být podepsán důvěryhodnou certifikační autoritou (CA), která uživateli zaručí identitu serveru.
Zranitelnost útoku na skriptování mezi weby (XSS)Pokročilejší útok než ten předchozí by spočíval ve zneužití chyby zabezpečení skriptování mezi weby . Jednou z možností by bylo vložit formulář, který by se zobrazil v prohlížeči uživatele. To má tu výhodu, že se kód provádí v počítači uživatele, který je připojen k serveru považovanému za důvěryhodný.
RSA oznámila 17. března 2011že utrpěl sofistikovaný kybernetický útok, který útočníkům umožnil získat určité informace týkající se systému SecurID. Podle RSA by získané informace mohly být potenciálně použity jako součást globálnějšího útoku, který snižuje účinnost systému SecurID. RSA však objasnila, že není možné úspěšně provést přímý útok na některého z jejich zákazníků pomocí tohoto systému.
Model SID600 z doby před rokem 2008
Model SID800 s USB