USB-токен: что это такое и как пользоваться
По данным аналитиков «Лаборатории Касперского», в 2017 году было предпринято более 260 млн попыток фишинговых атак — это один из способов получить все ваши пароли и данные. От этого может не спасти даже двойная аутентификация через СМС или специальное приложение.
График попыток фишинговых атак
Но люди придумали такую штуку, как USB-токен — она лучше защищает ваши данные. Рассказываем, почему этот способ более надежный и как правильно все настроить.
Что это такое и как работает?
USB-токен — небольшое устройство, похожее на обычную флешку. Внутри них специальный уникальный код, заменяющий другие способы двойной аутентификации.
По факту его можно сравнить с ключом от вашей квартиры — если ключ в компьютере, то вы можете войти в свой аккаунт. Только здесь разница в том, что ваш аккаунт гораздо сложнее взломать отмычкой.
Почему это надежнее двойной аутентификации?
Обычная двойная аутентификация работает так: вы вводите пароль от почты, вам по СМС приходит код подтверждения для входа в аккаунт. Получается, что если у злоумышленника нет вашего смартфона, то зайти под вашим логином он не сможет. Но на самом деле это не совсем так.
Почти у всех сервисов с такой функцией злоумышленник может перехватить ваш код от аккаунта из-за общей уязвимости, заключенной в системе SS7. Через нее любой человек может следить за вашим смартфоном — слушать разговоры и читать все сообщения. Операторы эту проблему не признают, хотя ей уже больше 30 лет.
Приложения-аутентификаторы, вроде Google Authentificator, в этом плане надежнее. Для вас каждые 30 секунд генерируется новый пароль — его знают только ваш смартфон и аккаунт в интернете. Но даже так хакеры могут до вас добраться, особенно если вы доверчивый.
Злоумышленник может получить доступ к этим кодам безопасности на этапе настройки приложения. Кроме того, вас могут обмануть и вы зайдете на фальшивый сайт Google, где сами выдадите все пароли хакерам.
Да кто будет пользоваться этими «флешками»?
Все сотрудники из Google этим пользуются и очень довольны. В начале 2017 года все работники корпорации перешли на этот способ аутентификации своих аккаунтов. Как итог — за этот год не произошло ни одной кражи личной информации.
Теперь в Google считают, что USB-токены — самый надежный способ защитить свой аккаунт. Вот так.
Все слишком хорошо! Какие подводные?
Да, подводные камни здесь есть. Пока полноценно эти токены поддерживаются только в двух браузерах — Google Chrome и Opera. В Firefox это реализовали через расширение, а в Edge обещают добавить позже. Разработчики Safari вообще об этой функции ничего не говорят.
И еще один недостаток связан со смартфонами. Чтобы войти в аккаунт на своем Айфоне, вам понадобится ключ с Bluetooth — он стоит немного дороже. Еще можно попробовать переходник, но мы этот способ не проверяли, так что может не сработать.
Это не страшно. Как начать пользоваться ключом?
В первую очередь — вам нужен тот самый USB-токен. Его можно купить в интернете — в России проще всего достать JaCarta U2F. Я купил такой за 1500 рублей.
Так выглядит USB-токен Jakarta U2F
Процедура настройки ключа практически везде одинакова, поэтому мы покажем настройку на примере аккаунта в Google.
1 — Войдите в настройки двойной аутентификации аккаунта. Нажмите на «Выберите другой способ» и выберите там электронный ключ:
2 — Подключать ключ к компьютеру сразу нельзя. Убедитесь, что он у вас в руке и жмите «Далее»:
3 — Вставьте ключ в USB-разъем и нажмите на нем кнопку:
Ключ загорится красным светом, а браузер попросит разрешения на доступ к устройству:
Маленькая черная штучка — кнопка. На нее нужно нажать после подключения ключа
4 — Ваш ключ зарегистрируется и вам нужно будет придумать ему имя:
5 — Готово! Теперь добавьте дополнительные способы входа в аккаунт — через приложение или СМС-код. Это нужно, если вы потеряете свой токен. Но я этого делать не буду.
А теперь небольшой челендж для читателей. Вот все данные аккаунта, на котором я установил свой USB-ключ:
Если вы сможете войти в этот аккаунт до 15 августа и оставить мне там послание, то я вам перечислю 5 тысяч рублей. Вперед, хакеры!
Что такое токен безопасности (security token)?
Токен безопасности, или секьюрити токен (англ. Security token) – это физическое или цифровое устройство, которое обеспечивает двухфакторную аутентификацию (2FA) для пользователя, чтобы подтвердить его личность в процессе входа в систему. Обычно он используется как форма идентификации для физического доступа или как метод доступа к компьютерной системе. Токен может быть предметом или картой, которая отображает или содержит информацию о безопасности пользователя и может быть проверена системой.
Токены безопасности могут использоваться вместо традиционных паролей или в дополнение к ним. Чаще всего они используются для доступа к компьютерным сетям, но также могут обеспечивать физический доступ к зданиям и выступать в качестве электронных подписей для документов.
Как работают токены безопасности?
Токен безопасности обеспечивает аутентификацию для доступа к системе через любое устройство, генерирующее пароль. Это может быть смарт-карта, USB-ключ, мобильное устройство или RFID-карта. Устройство генерирует новый пароль при каждом использовании, поэтому токен безопасности можно использовать для входа в компьютер или виртуальную частную сеть, введя пароль, сгенерированный токеном, в приглашение.
Технология токенов безопасности основана на использовании устройства, которое генерирует случайное число, шифрует его и отправляет на сервер с информацией для аутентификации пользователя. Затем сервер отправляет обратно зашифрованный ответ, который может быть расшифрован только устройством. Устройство повторно используется для каждой аутентификации, поэтому серверу не нужно хранить информацию об имени пользователя или пароле, делая систему менее уязвимой для взлома.
Типы токенов безопасности
Для защиты различных активов и приложений используются несколько типов токенов безопасности. К ним относятся следующие:
Преимущества токена безопасности
Хотя это правда, что пароли и идентификаторы пользователей по-прежнему являются наиболее широко используемой формой аутентификации, токены безопасности являются более безопасным вариантом для защиты сетей и цифровых систем. Проблема с паролями и идентификаторами пользователей в том, что они не всегда безопасны. Злоумышленники продолжают совершенствовать методы и инструменты для взлома паролей, делая пароли уязвимыми. Данные паролей также могут быть доступны или украдены в результате утечки данных. Кроме того, пароли часто легко угадать, обычно потому, что они основаны на легко обнаруживаемой личной информации.
С другой стороны, токены безопасности используют уникальный для пользователя физический или цифровой идентификатор. Большинство форм относительно просты в использовании и удобны.
Уязвимости токенов безопасности
Хотя токены безопасности предлагают пользователям и организациям множество преимуществ, они также могут иметь недостатки. Основным недостатком физических токенов безопасности является то, что они подвержены утере или краже. Например, токен безопасности может быть утерян во время путешествия или украден неавторизованной стороной. Если токен безопасности утерян или украден, его необходимо деактивировать и заменить. Тем временем неавторизованный пользователь, владеющий токеном, может получить доступ к конфиденциальной информации и системам.
Интернет-предприниматель, специалист по SEO и SMM, E-commerce, вебмастер, блогер.
Токен авторизации на примере JSON WEB Token
Введение
Начнем с того, что важно уметь различать следующие два понятия: аутентификации и авторизации. Именно с помощью этих терминов почти все клиент-серверные приложения основывают разделение прав доступа в своих сервисах.
Еще одно небольшое введение
Формальное определение
Приступим наконец к работе самого токена. Как я сказал ранее в качестве токенов наиболее часто рассматривают JSON Web Tokens (JWT) и хотя реализации бывают разные, но токены JWT превратились в некий стандарт, именно поэтому будем рассматривать именно на его примере.
JSON Web Token (JWT) — это открытый стандарт (RFC 7519) для создания токенов доступа, основанный на формате JSON.
Фактически это просто строка символов (закодированная и подписанная определенными алгоритмами) с некоторой структурой, содержащая полезные данные пользователя, например ID, имя, уровень доступа и так далее. И эта строчка передается клиентом приложению при каждом запросе, когда есть необходимость идентифицировать и понять кто прислал этот запрос.
Принцип работы
Рассмотрим принцип работы клиент серверных приложений, работающих с помощью JWT. Первым делом пользователь проходит аутентификацию, конечно же если не делал этого ранее и в этом есть необходимость, а именно, например, вводит свой логин и пароль. Далее приложение выдаст ему 2 токена: access token и refresh token (для чего нужен второй мы обсудим ниже, сейчас речь идет именно об access token). Пользователь тем или иным способом сохраняет его себе, например, в локальном хранилище или в хранилище сессий. Затем, когда пользователь делает запрос к API приложения он добавляет полученный ранее access token. И наконец наше приложение, получив данный запрос с токеном, проверяет что данный токен действительный (об этой проверке, опять же, ниже), вычитывает полезные данные, которые помогут идентифицировать пользователя и проверить, что он имеет право на запрашиваемые ресурсы. Таким нехитрым образом происходит основная логика работы с JSON Web Tokens.
https://habr.com/ru/post/336082/
Структура токена
Пришло время обсудить структуру токена и тем самым лучше разобраться в его работе. Первое что следует отметить, что JWT токен состоит из трех частей, разделенных через точку:
Полезные данные (playload)
funnytorimage.pw
Рассмотрим каждую часть по подробнее.
Заголовок
Это первая часть токена. Она служит прежде всего для хранения информации о токене, которая должна рассказать о том, как нам прочитать дальнейшие данные, передаваемые JWT. Заголовок представлен в виде JSON объекта, закодированного в Base64-URL Например:
Если раскодировать данную строку получим:
Полезные данные
Что в JSON формате представляет собой:
Именно здесь хранится вся полезная информация. Для данной части нет обязательных полей, из наиболее часто встречаемых можно отметить следующие:
Одной из самых важных характеристик любого токена является время его жизни, которое может быть задано полем exp. По нему происходит проверка, актуален ли токен еще (что происходит, когда токен перестает быть актуальным можно узнать ниже). Как я уже упоминал, токен может помочь с проблемой авторизации, именно в полезных данных мы можем добавить свои поля, которые будут отражать возможности взаимодействия пользователя с нашим приложением. Например, мы можем добавить поле is_admin или же is_preferUser, где можем указать имеет ли пользователь права на те или иные действия, и при каждом новом запросе с легкостью проверять, не противоречат ли запрашиваемые действия с разрешенными. Ну а что же делать, если попробовать изменить токен и указать, например, что мы являемся администраторами, хотя таковыми никогда не были. Здесь мы плавно можем перейти к третьей и заключительной части нашего JWT.
Подпись
Время жизни токена и Refresh Token
Заключение
В данной статье я постарался подробно рассмотреть работу клиент-серверных приложений с токеном доступа, а конкретно на примере JSON Web Token (JWT). Еще раз хочется отметить с какой сравнительной легкостью, но в тоже время хорошей надежностью, токен позволяет решать проблемы аутентификации и авторизации, что и сделало его таким популярным. Спасибо за уделенное время.
Что такое токен. Объясняем простыми словами
Токен — цифровой сертификат, который гарантирует обязательства компании перед его владельцем, аналог акций на фондовой бирже в мире криптовалют.
Проще говоря, токены похожи на жетоны парка аттракционов. За монетки с эмблемой парка, купленные в кассе, можно покататься на каруселях, пострелять в тире или съесть мороженое. Посетители парка покупают жетоны за реальные деньги, но жетоны работают только на территории парка.
Проекты, работающие на блокчейне, выпускают собственные уникальные жетоны — токены. Покупатель токена может, например, увеличить объём своего хранилища в базе данных. Или, если токены компании по сути являются её цифровыми акциями, оставить до лучших времён в надежде, что они подорожают.
Пример употребления на «Секрете»
«Что такое продуктовый токен и ICO, лучше всего объяснил Константин Виноградов из Runa Capital. Он приводит такой пример: представьте, что мы строим новый метрополитен. Мы заранее выпускаем жетоны для этого метрополитена, токены, и говорим: вы заплатите сейчас, мы построим метро, и вы сможете ими пользоваться, чтобы ездить на нём».
(Предпринимательница Елена Масолова — о сути токенизации.)
Нюансы
Согласно российскому законодательству, не каждый индивидуальный предприниматель или юридическое лицо вправе выпустить свои токены. Сделать это могут только операторы блокчейн-платформ, зарегистрированные ЦБ. Оператором сможет стать зарегистрированное в России юрлицо или ИП, а размер его уставного капитала должен составлять не менее 50 млн рублей в день подачи ходатайства. А вот купить цифровые активы может любой человек.
Токеномика – Бизнес-гид по использованию, функциям и ценности токенов + чек-лист на жизнеспособность вашего токена
Я работаю в стартапе MeetnGreetMe. Недавно мы анонсировали выход на ICO. При подготовке к ICO эта статья оказалась для нас очень полезной, и я думаю, что она будет полезна всем, кто задумывается о выпуске собственных токенов.
Уильям – автор “The Business Blockchain”. Он является генеральным партнером Virtual Capital Ventures, членом Совета директоров OB1 (открытого протокола OpenBazaar – новаторской децентрализованной p2p торговой сети), специальным советником Совета Фонда Ethereum, членом Совета консультантов OMERS Ventures, членом Консультативного совета Coin Center, Bloq и основателем Startup Management. Он является держателем BTC, ETH и STEEM и инвестирует в OpenBazaar, MediaChain и ChangeTip.
Несмотря на то, что в последнее время публикуется немало статей по теме криптовалют и токенов, хорошего и понятного определения тому, что они из себя представляют, так и не было дано.
В техническом мире концепция того, что такое токен, понятна. Он представляет собой программную валютную единицу, которая привязана к Блокчейну и является частью смарт-контракта в контексте конкретного программного приложения. Но что такое токен вне технической сферы?
Токен – это еще один термин для обозначения типа частной валюты. Традиционно суверенные государства выдавали валюту и устанавливали условия управления ей; по сути, управляя тем, как экономика работает с деньгами как медиумом для обмена ценностями.
С приходом Блокчейна появились организации нового типа (и скоро таких организаций станет еще больше), которые выпускают свою собственную криптовалюту. Эти организации, в свою очередь, устанавливают свои условия и правила вокруг операций со своей валютой, по сути создавая новые самодостаточные «мини-экономики».
То, что раньше было исключительно во власти правительства, теперь в руках многих людей.
В бизнес-среде токен определяется следующим образом: это единица стоимости, которую организация создает для самостоятельного управления своей бизнес-моделью, и дает возможность ее пользователям взаимодействовать с продуктами, при этом способствуя распределению и разделению вознаграждений и выгоды всеми заинтересованными сторонами.
Слабой стороной токен-модели является взаимодействие с лежащей в ее основе бизнес-моделью. Тем не менее много внимания уделяется организации ICO с целью ее оптимизации для криптоэкономики – понятия, существующего для описания особенностей и механизмов распределения токенов, согласно выбранной структуре продажи и владения ими.
В будущем способы использования токенов будут важнее, чем дизайн криптоэкономики. Не существует идеальной схемы продажи токенов. Вы можете детально продумать и запустить ICO, но в долгосрочной перспективе главное, на что нужно обращать внимание – это жизнеспособная бизнес-модель.
Служебная роль токена является главным секретом успеха моделей, которые собираются его использовать. Токены – это многоцелевые инструменты, и сейчас становятся все более явными масштабы, которые охватывают области его применения.
Проанализировав десятки прошлых и готовящихся к запуску ICO, я пришел к следующей классификации токенов по роли, особенностям и целям. Это должно помочь компаниям, работающим в рамках ICO, сосредоточить свои усилия на том, что будет иметь значение для их будущего успеха.
В структуре, которую я выделяю, есть 3 принципа пользы токена:
Каждая роль имеет ключевую цель, как показано в таблице ниже:
Владение токеном дает определенные права: на использование продукта, участие в управлении платформой, голосование за какие-либо изменения или просто доступ к продукту или рынку. В некоторых случаях токен может гарантировать реальные права владения, несмотря на то, что многие организации пытаются этого избегать, чтобы не пройти тест Хоуи. Примерами могут служить Numerai, DigixDAO, FirstBlood and Tezos.
Токен также является атомарной единицей обмена ценностями внутри платформы или приложения, в результате чего продавцы и покупатели могут проводить между собой транзакции, не выходя за пределы платформы. Это также позволит пользователям зарабатывать и тратить токены на сервисы, которые являются частью внутренней экосистемы платформы. Пользователи могут заработать токены, выполняя«активную работу» (реальные действия) и «пассивную работу» (например, поделиться данными). Создание такой внутренней экономики – один из самых важных результатов токенизации, который критически важно поддерживать в будущем. Примеры этому – Steemit, Kik, Tezos и Augur.
Точно так же, как мы платим пошлину за пользование платной дорогой, токены могут взиматься за пользование платформой. Это может гарантировать, что пользователь будет действительно заинтересован в том, чтобы стать частью экосистемы. Плата может включать исполнение смарт-контрактов для выполнения определенной функции, залог или просто сбор за пользование сервисом. В качестве примеров можно рассмотреть Gnosis, Augur, Melonport, Tezos, Dfinity, Ethereum и Bitcoin.
Токен может использоваться в качестве средства для обогащения пользовательского опыта, включая базовые действия, такие как присоединение к сети или коммуникация с другими участниками платформы. Токен можно применять и в роли стимула, если он дается в обмен на начало использования. Примеры: Dfinity, Steemit, Civic, and Brave.
Токен – это еще и эффективный способ оплаты, механизм транзакций и ключ к беспрепятственному проведению транзакций внутри закрытой экосистемы. Впервые в истории компании сами могут проводить платежи не привлекая дорогостоящих посредников. Токены позволяют значительно снизить издержки при проведении транзакций внутри данного рынка.
Модели, основанные на блокчейне, могут также обеспечивать рациональное перераспределение увеличившихся ценностей. Будь то совместное распределение прибыли, распределение благ или другие виды доходов (как, например, от инфляции), предполагается, что всё это будет распределено между заинтересованными сторонами.
При оценивании организации, основанной на токенах, можно использовать такой тест: чем больше пунктов, указывающих на функции токена, вы отметите – тем лучше.
Предприниматели могут проявить креативность в создании инновационных способов использования токенов на операционном уровне. Если неясно, как использовать токен в рамках какой-то платформы, значит, в модели есть недостатки.
Ниже приведен список вопросов для определения ценности токена. Если вы компания, планирующая выход на ICO, то за каждый положительный ответ начисляйте себе один балл, максимум – 20 баллов.
1) Привязан ли токен к использованию продукта, т.е. дает ли он пользователю эксклюзивный доступ к нему или предоставляет права на взаимодействие?
2) Дает ли токен право управления, например, голосования по какому-либо вопросу или принятия решения?
3) Предоставляет ли токен возможность внести вклад в процесс создания добавленной стоимости сети или рынка?
4) Предоставляет ли токен право собственности, реальной или по доверенности?
5) Поощряет ли токен активные действия пользователя?
6) Дает ли токен пользователю что-то взамен на шаринг или другие «пассивные действия»?
7) Является ли покупка чего-либо частью бизнес-модели?
8) Является ли продажа чего-либо частью бизнес-модели?
9) Могут ли пользователи создавать новый продукт или сервис?
10) Является ли токен обязательным для запуска смарт-контракта или финансирования оракула? (оракул является источником информации или данных, которые могут быть использованы в другом смарт-контракте)
11) Является ли токен обязательным в качестве депозита для защиты некоторых аспектов операции Блокчейн?
12) Используется ли токен (или его деривативы) для оплаты чего-либо?
13) Является ли токен необходимым для присоединения к сети?
14) Обеспечивает ли токен возможность реальной коммуникации между пользователями?
15) Есть ли функция выдачи токена в качестве стимула либо поощрения за использование продукта?
16) Является ли токен основной платежной единицей, функционирующей фактически как внутренняя валюта?
17) Является ли токен (или его деривативы) основной единицей учета для всех внутренних транзакций?
18) Может ли ваш блокчейн автономно распределять прибыль между владельцами токенов?
19) Может ли ваш блокчейн автономно разделять другие преимущества между владельцами токенов?
20) Получают ли пользователи какие-либо преимущества в результате встроенной инфляции?
Даже если вы отметили большинство пунктов из этого чек-листа, вам нужно убедиться в том, что эти пункты будут реализованы на практике.
Все ICO-компании должны критично оценить возможности использования своих токенов. Чем больше сценариев использования есть у токена, тем более устойчивым он будет на рынке.