Универсальный USB-токен, предназначенный для использования в качестве второго фактора при парольной аутентификации конечных пользователей онлайн-сервисов, поддерживающих стандарт FIDO U2F*
- "Облачные" сервисы (Dropbox, Google Cloud Platform)
- Почтовые сервисы (GMail)
- Файловый хостинг, видеохостинг, хостинг IT-проектов и их совместной разработки (Google Drive, YouTube, GitHub)
- Электронные платёжные системы (Google Wallet)
- Социальные сети (Google+)
Решаемые задачи
- Усиление парольной аутентификации пользователей при доступе к Web-ресурсам за счёт перехода к двухфакторной аутентификации с использованием токена
- Избавление пользователей от необходимости запоминать сложные пароли. За счёт использования второго фактора аутентификации требования к сложности пароля могут быть существенно снижены
- Использование одного устройства для доступа к различным ресурсам
Функциональные возможности
Аутентификация по стандарту FIDO U2F
Ключевые особенности
Токен JaCarta U2F обладает рядом особенностей, отличающих его от токенов, использующих альтернативные технологии аутентификации.
- Самостоятельная регистрация пользователей – в отличие от систем аутентификации на основе традиционных PKI-токенов, в процессе регистрации токена JaCarta U2F на конкретном Web-ресурсе не требуется участия администратора. Для регистрации необходимо просто ввести логин и пароль, подключить токен к компьютеру и нажать на кнопку (тем самым подтвердив физическое присутствие пользователя за компьютером). В процессе регистрации пользователем своего U2F-токена на Web-ресурсе происходит генерация ключевой пары (открытый и закрытый ключ) без сертификата открытого ключа. Сгенерированная ключевая пара используется для дальнейшей аутентификации.
- Концепция "один ко многим" – один токен может использоваться для доступа к множеству различных Web-ресурсов (количество ресурсов ограничено лишь объёмом памяти токена, используемой для хранения аутентификационных данных).
- Защита от фишинга – каждый закрытый ключ, хранящийся в памяти токена и используемый для доступа к конкретному ресурсу, "связан" с адресом данного ресурса (URL). Таким образом, если злоумышленник попытается перенаправить пользователя на "поддельный" ресурс, пользователь не сможет пройти аутентификацию, так как закрытый ключ, соответствующий "поддельному" ресурсу, не будет найден.
- Защита от клонирования токена – в токене хранится "счётчик аутентификаций", значение которого передаётся на сервер при каждой аутентификации (подписанное с помощью закрытого ключа, хранимого в токене). Сервер, в свою очередь, при каждой попытке аутентификации проверяет значение счётчика. Если полученное значение счётчика меньше, чем значение, сохранённое на сервере, то это является признаком компрометации токена (был использован "склонированный" токен).
Категория:
Вендор: