सुरक्षा टोकन: Difference between revisions

From Vigyanwiki
Line 164: Line 164:
[[Category: Machine Translated Page]]
[[Category: Machine Translated Page]]
[[Category:Created On 16/12/2022]]
[[Category:Created On 16/12/2022]]
[[Category:Vigyan Ready]]

Revision as of 22:27, 6 January 2023

लैपटॉप से ​​जुड़ा एक गोल्ड कुंजी सुरक्षा टोकन

सुरक्षा टोकन एक परिधीय उपकरण है जिसका उपयोग इलेक्ट्रॉनिक रूप से प्रतिबंधित संसाधन तक पहुंच प्राप्त करने के लिए किया जाता है। टोकन का उपयोग पासवर्ड के अतिरिक्त या उसके स्थान पर किया जाता है।[1] यह किसी चीज तक पहुंचने के लिए एक इलेक्ट्रॉनिक कुंजी की तरह काम करता है। सुरक्षा टोकन के उदाहरणों में बंद दरवाजों को खोलने के लिए उपयोग किया जाने वाला वायरलेस कुंजी कार्ड सम्मिलित है, या किसी ग्राहक के ऑनलाइन बैंकिंग तक पहुँचने का प्रयास करने के स्थिति में, बैंक द्वारा प्रदान किए गए टोकन यह सिद्ध कर सकते हैं कि ग्राहक वही है जो वे होने को प्रमाणित करते हैं।

कुछ सुरक्षा टोकन क्रिप्टोग्राफ़िक कुंजी को संग्रहीत कर सकते हैं जिनका उपयोग डिजिटल हस्ताक्षर, या बॉयोमीट्रिक डेटा, जैसे अंगुली की छाप विवरण उत्पन्न करने के लिए किया जा सकता है। कुछ पासवर्डों को भी स्टोर कर सकते हैं।[2] कुछ डिज़ाइनों में छेड़छाड़ प्रतिरोध पैकेजिंग सम्मिलित है, जबकि अन्य में व्यक्तिगत पहचान संख्या या एक साधारण बटन के प्रवेश की अनुमति देने के लिए छोटे कीपैड सम्मिलित हो सकते हैं, जो उत्पन्न कुंजी संख्या दिखाने के लिए कुछ प्रदर्शन क्षमता के साथ एक जनरेटिंग रूटीन प्रारंभ कर सकते हैं। जुड़े हुए टोकन यूएसबी, निकटतम फील्ड संचार (NFC), रेडियो फ्रिक्वेंसी पहचान (RFID), या ब्लूटूथ सहित कई तरह के इंटरफेस का उपयोग करते हैं। कुछ टोकन में दृष्टिबाधित लोगों के लिए डिज़ाइन की गई ऑडियो क्षमता होती है।

पासवर्ड प्रकार

सभी टोकन में कुछ गुप्त जानकारी होती है जिसका उपयोग पहचान सिद्ध करने के लिए किया जाता है। इस जानकारी का उपयोग चार अलग-अलग प्रकार से किया जा सकता है:

एचएसबीसी ऑनलाइन बैंकिंग के लिए अतुल्यकालिक पासवर्ड टोकन।

; स्टेटिक पासवर्ड टोकन: उपकरण में एक पासवर्ड होता है जो भौतिक रूप से छिपा होता है (स्वामी को दिखाई नहीं देता), लेकिन जो प्रत्येक प्रमाणीकरण के लिए प्रेषित होता है। इस प्रकार के हमलो को फिर से चलाने के लिए कमजोर है।

सिंक्रोनस डायनेमिक पासवर्ड टोकन
क्रिप्टोग्राफिक एल्गोरिथ्म द्वारा निर्मित विभिन्न संयोजनों के माध्यम से घुमाने के लिए एक टाइमर का उपयोग किया जाता है। टोकन और प्रमाणीकरण सर्वर में सिंक्रोनाइज़्ड क्लॉक होनी चाहिए।
एसिंक्रोनस पासवर्ड टोकन
वन-टाइम पासवर्ड घड़ी के उपयोग के बिना उत्पन्न होता है, या तो वन-टाइम पैड या क्रिप्टोग्राफ़िक कलन विधि से।
चुनौती-प्रतिक्रिया टोकन
सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करके, उस कुंजी को प्रकट किए बिना एक निजी कुंजी का अधिकार प्रमाणित करना संभव है। प्रमाणीकरण सर्वर एक सार्वजनिक कुंजी के साथ एक चुनौती (प्रायः एक यादृच्छिक संख्या, या कम से कम कुछ यादृच्छिक भागों के साथ डेटा) को एन्क्रिप्ट करता है; डिक्रिप्ट की गई चुनौती प्रदान करके उपकरण यह सिद्ध करता है कि उसके पास मेल खाने वाली निजी कुंजी की एक प्रति है।

टाइम-सिंक्रोनाइज़्ड, वन-टाइम पासवर्ड एक निर्धारित समय अंतराल पर लगातार बदलते रहते हैं; जैसे, प्रति मिनट एक बार। ऐसा करने के लिए, क्लाइंट (कंप्यूटिंग) के टोकन और प्रमाणीकरण सर्वर (कंप्यूटिंग) के बीच किसी प्रकार का सिंक्रनाइज़ेशन उपस्थित होना चाहिए। डिस्कनेक्ट किए गए टोकन के लिए, यह समय-सिंक्रनाइज़ेशन क्लाइंट (कम्प्यूटिंग) को टोकन वितरित करने से पहले किया जाता है। जब किसी इनपुट उपकरण में टोकन डाला जाता है तो अन्य टोकन प्रकार सिंक्रोनाइज़ेशन करते हैं। समय-सिंक्रनाइज़ टोकन के साथ मुख्य समस्या यह है कि वे समय के साथ अनसिंक्रनाइज़ हो सकते हैं।[3] चूंकि, कुछ ऐसी प्रणालियाँ, जैसे RSA की SecurID, उपयोगकर्ता को टोकन के साथ सर्वर को फिर से सिंक्रनाइज़ करने की अनुमति देती हैं, कभी-कभी लगातार कई पासकोड अंकित करके। अधिकांश में बदली जाने वाली बैटरी भी नहीं हो सकती हैं और बदले जाने से पहले केवल 5 साल तक चलती हैं - इसलिए एक अतिरिक्त मूल्य है।[4]

एक अन्य प्रकार का वन-टाइम पासवर्ड एक जटिल गणितीय एल्गोरिथ्म का उपयोग करता है, जैसे कि हैश चेन, एक गुप्त साझा कुंजी से वन-टाइम पासवर्ड की एक श्रृंखला उत्पन्न करने के लिए। पिछले पासवर्ड ज्ञात होने पर भी प्रत्येक पासवर्ड का अनुमान नहीं लगाया जा सकता है। ओपन प्रमाणीकरण कलन विधि के लिए ओपन-सोर्स इनिशिएटिव मानकीकृत है; अन्य एल्गोरिदम यूएस पेटेंट द्वारा कवर किए गए हैं। प्रत्येक पासवर्ड स्पष्ट रूप से अप्रत्याशित और पिछले वाले से स्वतंत्र है, जिससे एक विरोधी यह अनुमान लगाने में असमर्थ होगा कि अगला पासवर्ड क्या हो सकता है, यहां तक ​​कि पिछले सभी पासवर्डों के ज्ञान के साथ भी।

भौतिक प्रकार

टोकन में कई प्रमाणीकरण विधियों सहित बहुत सरल से बहुत जटिल कार्यों के साथ एकीकृत सर्किट हो सकते हैं।

सरलतम सुरक्षा टोकन को संगणक से किसी संबंध की आवश्यकता नहीं होती है। टोकन का भौतिक प्रदर्शन होता है; प्रमाणीकरण करने वाला उपयोगकर्ता केवल लॉग इन करने के लिए प्रदर्शित संख्या में प्रवेश करता है। अन्य टोकन ब्लूटूथ जैसी वायरलेस तकनीकों का उपयोग करके कंप्यूटर से कनेक्ट होते हैं। ये टोकन एक महत्वपूर्ण अनुक्रम को स्थानीय क्लाइंट या पास के पहुंच बिंदु पर स्थानांतरित करते हैं।

वैकल्पिक रूप से, टोकन का एक अन्य रूप जो कई वर्षों से व्यापक रूप से उपलब्ध है, एक मोबाइल उपकरण है जो एक आउट-ऑफ़-बैंड चैनल (जैसे आवाज, लघु संदेश सेवा, या असंरचित पूरक सेवा डेटा) का उपयोग करके संचार करता है।

अभी भी अन्य टोकन कंप्यूटर में प्लग इन होते हैं, और इसके लिए पिन की आवश्यकता हो सकती है। टोकन के प्रकार के आधार पर, कंप्यूटर ऑपरेटिंग सिस्टम या तो टोकन से कुंजी पढ़ेगा और उस पर एक क्रिप्टोग्राफ़िक ऑपरेशन करेगा, या टोकन के फ़र्मवेयर से इस ऑपरेशन को करने के लिए कहेगा।

संबंधित एप्लिकेशन सॉफ़्टवेयर के स्वामित्व को सिद्ध करने के लिए कुछ कंप्यूटर प्रोग्रामों द्वारा आवश्यक हार्डवेयर डोंगल है। डोंगल को एक इनपुट उपकरण में रखा जाता है और सॉफ्टवेयर प्रश्न में सॉफ्टवेयर के उपयोग को अधिकृत करने के लिए I/O उपकरण को एक्सेस करता है।

विभिन्न प्रकार के विक्रेताओं द्वारा वाणिज्यिक समाधान प्रदान किए जाते हैं, जिनमें से प्रत्येक अपने स्वयं के स्वामित्व (और अधिकांशतः पेटेंट) के साथ विभिन्न रूप से उपयोग की जाने वाली सुरक्षा सुविधाओं के कार्यान्वयन के साथ होता है। कुछ सुरक्षा मानकों को पूरा करने वाले टोकन डिज़ाइन संयुक्त राज्य अमेरिका में FIPS 140, एक संघीय सुरक्षा मानक के अनुरूप प्रमाणित हैं। किसी भी प्रकार के प्रमाणन के बिना टोकन को कभी-कभी संदिग्ध के रूप में देखा जाता है, क्योंकि वे अधिकांशतः स्वीकृत सरकार या उद्योग सुरक्षा मानकों को पूरा नहीं करते हैं, कठोर परीक्षण के माध्यम से नहीं रखा गया है, और संभवतः क्रिप्टोग्राफ़िक सुरक्षा के समान स्तर को टोकन समाधान के रूप में प्रदान नहीं कर सकते हैं जो उनके पास हैं डिज़ाइन का स्वतंत्र रूप से तृतीय-पक्ष एजेंसियों द्वारा ऑडिट किया जाता है।[citation needed]


डिस्कनेक्ट किए गए टोकन

एक डिस्कनेक्ट किया गया टोकन। संख्या को पासकोड फ़ील्ड में हाथ से कॉपी किया जाना चाहिए।

डिस्कनेक्ट किए गए टोकन का क्लाइंट कंप्यूटर से न तो भौतिक और न ही तार्किक संबंध है। उन्हें सामान्यतः एक विशेष इनपुट उपकरण की आवश्यकता नहीं होती है, और इसके अतिरिक्त जेनरेट किए गए प्रमाणीकरण डेटा को प्रदर्शित करने के लिए एक अंतर्निहित स्क्रीन का उपयोग करते हैं, जिसे उपयोगकर्ता कंप्यूटर कीबोर्ड या कीपैड के माध्यम से मैन्युअल रूप में अंकित करता है। ऑनलाइन पहचान के लिए दो-कारक प्रमाणीकरण में डिस्कनेक्ट किए गए टोकन सबसे सामान्य प्रकार के सुरक्षा टोकन हैं (सामान्यतः पासवर्ड के संयोजन में)।[5]


जुड़े हुए टोकन

कनेक्टेड टोकन ऐसे टोकन हैं जो उस कंप्यूटर से भौतिक रूप से जुड़े होने चाहिए जिसके साथ उपयोगकर्ता प्रमाणीकरण कर रहा है। इस श्रेणी के टोकन एक बार भौतिक संबंध हो जाने के बाद क्लाइंट कंप्यूटर को प्रमाणीकरण जानकारी स्वचालित रूप से प्रेषित करते हैं, जिससे उपयोगकर्ता को प्रमाणीकरण जानकारी को मैन्युअल रूप से अंकित करने की आवश्यकता समाप्त हो जाती है। चूंकि, जुड़े हुए टोकन का उपयोग करने के लिए, उपयुक्त इनपुट उपकरण स्थापित होना चाहिए। सबसे सामान्य प्रकार के भौतिक टोकन स्मार्ट कार्ड और यूएसबी टोकन (जिन्हें सुरक्षा कुंजी भी कहा जाता है) हैं, जिन्हें क्रमशः स्मार्ट कार्ड रीडर और यूएसबी पोर्ट की आवश्यकता होती है। खुले विनिर्देश समूह FIDO एलायंस द्वारा समर्थित FIDO2 प्रोजेक्ट टोकन तेजी से 2015 में मुख्यधारा के ब्राउज़र समर्थन वाले उपभोक्ताओं के लिए लोकप्रिय हो गए हैं और लोकप्रिय वेबसाइटों और सोशल मीडिया साइटों द्वारा समर्थित हैं।

पुराने पीसी कार्ड टोकन मुख्य रूप से लैपटॉप के साथ काम करने के लिए बनाए गए हैं। टाइप II पीसी कार्ड को टोकन के रूप में पसंद किया जाता है क्योंकि वे टाइप III की तुलना में आधे मोटे होते हैं।

ऑडियो जैक पोर्ट मोबाइल उपकरणों, जैसे iPhone, iPad और एंड्राइड (ऑपरेटिंग सिस्टम), और अन्य सहायक उपकरण के बीच संबंध स्थापित करने के लिए एक अपेक्षाकृत व्यावहारिक तरीका है। सबसे प्रसिद्ध उपकरण को स्क्वायर (एप्लिकेशन) कहा जाता है, आईओएस और एंड्रॉइड उपकरण के लिए क्रेडिट कार्ड रीडर।

कुछ एक विशेष प्रयोजन इंटरफ़ेस का उपयोग करते हैं (उदाहरण के लिए संयुक्त राज्य अमेरिका की राष्ट्रीय सुरक्षा एजेंसी द्वारा तैनात KSD-64)। टोकन का उपयोग फोटो पहचान पत्र के रूप में भी किया जा सकता है। सेल फोन और व्यक्तिगत डिजिटल सहायक भी उचित प्रोग्रामिंग के साथ सुरक्षा टोकन के रूप में काम कर सकते हैं।

स्मार्ट कार्ड

कई कनेक्टेड टोकन स्मार्ट कार्ड तकनीक का उपयोग करते हैं। स्मार्ट कार्ड बहुत साधारण मूल्य पर हो सकते हैं (लगभग दस सेंट)[citation needed] और सिद्ध सुरक्षा तंत्र सम्मिलित हैं (जैसा कि वित्तीय संस्थानों द्वारा उपयोग किया जाता है, जैसे कैश कार्ड)। चूंकि, अत्यधिक कम बिजली की खपत और अल्ट्रा-थिन फॉर्म-फैक्टर आवश्यकताओं के कारण स्मार्ट कार्ड का कम्प्यूटेशनल प्रदर्शन अधिकांशतः सीमित होता है।

स्मार्ट-कार्ड-आधारित यूएसबी टोकन जिसमें एक स्मार्ट कार्ड चिप होती है, यूएसबी टोकन और स्मार्ट कार्ड दोनों की कार्यक्षमता प्रदान करता है। वे सुरक्षा समाधानों की एक विस्तृत श्रृंखला को सक्षम करते हैं और एक अद्वितीय इनपुट उपकरण की आवश्यकता के बिना एक पारंपरिक स्मार्ट कार्ड की क्षमता और सुरक्षा प्रदान करते हैं। ऑपरेटिंग सिस्टम के दृष्टिकोण से ऐसा टोकन एक यूएसबी-कनेक्टेड स्मार्ट कार्ड रीडर है जिसमें एक गैर-हटाने योग्य स्मार्ट कार्ड उपस्थित है।[6]


संपर्क रहित टोकन

जुड़े हुए टोकन के विपरीत, कॉन्टैक्टलेस टोकन क्लाइंट कंप्यूटर से एक तार्किक संबंध बनाते हैं लेकिन उन्हें भौतिक संबंध की आवश्यकता नहीं होती है। शारीरिक संपर्क की आवश्यकता का अभाव उन्हें कनेक्टेड और डिस्कनेक्ट किए गए टोकन दोनों की तुलना में अधिक सुविधाजनक बनाता है। परिणाम स्वरुप , बिना चाबी के प्रवेश प्रणाली और गाड़ी स्पीड पास जैसे इलेक्ट्रॉनिक भुगतान समाधानों के लिए संपर्क रहित टोकन एक लोकप्रिय विकल्प है, जो कीचेन टोकन से प्रमाणीकरण जानकारी प्रसारित करने के लिए आरएफआईडी का उपयोग करता है। चूंकि, जॉन्स हॉपकिन्स विश्वविद्यालय और आरएसए प्रयोगशालाओं के शोधकर्ताओं ने पाया कि आरएफआईडी टैग को आसानी से क्रैक और क्लोन किया जा सकता है, जिसके बाद आरएफआईडी टोकन के बारे में कई सुरक्षा चिंताएं उठाई गई हैं।[7]

एक और नकारात्मक पक्ष यह है कि संपर्क रहित टोकनों में अपेक्षाकृत कम बैटरी जीवन होता है; सामान्यतः केवल 5-6 साल, जो कि यूनिवर्सल सीरियल बस टोकन की तुलना में कम है जो 10 साल से अधिक समय तक चल सकता है।[citation needed] चूंकि कुछ टोकन बैटरी को बदलने की अनुमति देते हैं, इस प्रकार मूल्य कम करते हैं।

ब्लूटूथ टोकन

ब्लूटूथ कम ऊर्जा प्रोटोकॉल वायरलेस ट्रांसमिशन के लंबे समय तक चलने वाले बैटरी जीवनचक्र के लिए काम करते हैं।

  • निहित ब्लूटूथ पहचान डेटा का प्रसारण प्रमाणीकरण का समर्थन करने के लिए सबसे कम गुणवत्ता वाला है।
  • लेन-देन संबंधी डेटा इंटरचेंज के लिए एक द्विदिश संबंध सबसे परिष्कृत प्रमाणीकरण प्रक्रियाओं के लिए कार्य करता है।

चूंकि, ऑटोमैटिक ट्रांसमिशन पॉवर कंट्रोल रेडियल दूरी अनुमानों के प्रयासों का विरोध करता है। न्यूनतम आवश्यक संचरण शक्ति पर अंशांकन प्रदान करने के लिए मानकीकृत ब्लूटूथ पावर कंट्रोल एल्गोरिदम के अलावा एस्केप उपलब्ध है।[8] ब्लूटूथ टोकन अधिकांशतः एक यूएसबी टोकन के साथ संयुक्त होते हैं, इस प्रकार एक कनेक्टेड और डिस्कनेक्टेड स्थिति दोनों में काम करते हैं। ब्लूटूथ प्रमाणीकरण 32 फीट (10 मीटर) के निकट होने पर काम करता है। जब ब्लूटूथ लिंक ठीक से संचालित नहीं होता है, तो टोकन को यूनिवर्सल सीरियल बस इनपुट उपकरण में कार्य करने के लिए डाला जा सकता है।

एक और संयोजन स्मार्ट कार्ड के साथ स्थानीय रूप से बड़ी मात्रा में पहचान डेटा और प्रक्रिया की जानकारी को स्टोर करने के लिए है।[9] दूसरा एक संपर्क रहित बीएलई टोकन है जो फिंगरप्रिंट क्रेडेंशियल्स के सुरक्षित भंडारण और टोकन रिलीज को जोड़ता है।[10]

ऑपरेशन के यूएसबी प्रणाली में साइन-ऑफ के लिए यूएसबी प्लग से यांत्रिक रूप से युग्मित होने पर टोकन की देखभाल की आवश्यकता होती है। ऑपरेशन के ब्लूटूथ प्रणाली के साथ लाभ दूरी मेट्रिक्स के साथ साइन-ऑफ के संयोजन का विकल्प है। इलेक्ट्रॉनिक पट्टे की अवधारणाओं का पालन करते हुए, संबंधित उत्पाद तैयार किए जा रहे हैं।

एनएफसी टोकन

नियर-फील्ड कम्युनिकेशन (एनएफसी) टोकन एक ब्लूटूथ टोकन के साथ मिलकर कई प्रणाली में काम कर सकते हैं, इस प्रकार एक कनेक्टेड और डिस्कनेक्टेड स्थिति दोनों में काम कर सकते हैं। एनएफसी प्रमाणीकरण 1 फुट (0.3 मीटर) के निकट होने पर काम करता है। एनएफसी प्रोटोकॉल पाठक के लिए छोटी दूरी को पाटता है जबकि ब्लूटूथ संबंध प्रमाणीकरण को सक्षम करने के लिए टोकन के साथ डेटा प्रावधान के लिए कार्य करता है। इसके अलावा जब ब्लूटूथ लिंक कनेक्ट नहीं होता है, तो टोकन स्थानीय रूप से संग्रहीत प्रमाणीकरण जानकारी को मोटे तौर पर एनएफसी रीडर के लिए प्रस्तुत कर सकता है और सटीक स्थिति से कनेक्टर को राहत देता है।[citation needed]


एकल साइन-ऑन सॉफ्टवेयर टोकन

कुछ प्रकार के सिंगल साइन-ऑन (एसएसओ) समाधान, जैसे उद्यम एकल साइन-ऑन, सॉफ्टवेयर को स्टोर करने के लिए टोकन का उपयोग करते हैं जो निर्बाध प्रमाणीकरण और पासवर्ड भरने की अनुमति देता है। चूंकि पासवर्ड टोकन पर संग्रहीत होते हैं, उपयोगकर्ताओं को अपने पासवर्ड याद रखने की आवश्यकता नहीं होती है और इसलिए वे अधिक सुरक्षित पासवर्ड चुन सकते हैं, या अधिक सुरक्षित पासवर्ड निर्दिष्ट कर सकते हैं। सामान्यतः अधिकांश टोकन पासवर्ड के क्रिप्टोग्राफिक हैश को स्टोर करते हैं जिससे यदि टोकन से छेड़छाड़ की जाए, तो पासवर्ड अभी भी सुरक्षित रहे।[citation needed]

प्रोग्राम करने योग्य टोकन

प्रोग्रामेबल टोकन को गूगल प्रमाणक (mini OTP) जैसे मोबाइल एप्लिकेशन के ड्रॉप-इन प्रतिस्थापन के रूप में विपणन किया जाता है[11]. उनका उपयोग मोबाइल ऐप प्रतिस्थापन के साथ-साथ बैकअप के रूप में समानांतर में किया जा सकता है।

भेद्यता

हानि और चोरी

किसी भी पासवर्ड कंटेनर के साथ सबसे सरल भेद्यता उपकरण की चोरी या नुकसान है। ऐसा होने या अनजाने में होने की संभावना को भौतिक सुरक्षा उपायों जैसे ताले, इलेक्ट्रॉनिक पट्टा, या बॉडी सेंसर और अलार्म से कम किया जा सकता है। दो विधियों से प्रमाणीकरण का उपयोग करके चोरी किए गए टोकन को प्रयोगहीन बनाया जा सकता है। सामान्यतः, प्रमाणित करने के लिए, टोकन के आउटपुट के समय टोकन द्वारा प्रदान की गई जानकारी के साथ एक व्यक्तिगत पहचान संख्या (पिन) अंकित की जानी चाहिए।

हमला

कोई भी प्रणाली जो उपयोगकर्ताओं को एक अविश्वसनीय नेटवर्क (जैसे इंटरनेट) के माध्यम से प्रमाणित करने की अनुमति देती है, वह मैन-इन-द-बीच हमला|मैन-इन-द-मिडल अटैक के लिए असुरक्षित है। इस प्रकार के हमले में, हमलावर उपयोगकर्ता और वैध प्रणाली के बीच मध्यस्थ के रूप में कार्य करता है, वैध उपयोगकर्ता से टोकन आउटपुट मांगता है और फिर इसे स्वयं प्रमाणीकरण प्रणाली को आपूर्ति करता है। चूंकि टोकन मूल्य गणितीय रूप से सही है, प्रमाणीकरण सफल होता है और धोखेबाज को पहुंच प्रदान की जाती है। 2006 में, सिटी बैंक एक हमले का शिकार हुआ था, जब इसके हार्डवेयर-टोकन-सुसज्जित व्यावसायिक उपयोगकर्ता एक बड़े यूक्रेनी-आधारित मैन-इन-द-मिडल फ़िशिंग ऑपरेशन के शिकार बन गए थे।[12][13]


कोड का उल्लंघन

2012 में, इंरिया पेरिस-रोक्वेनकोर्ट की प्रोसेको रिसर्च टीम ने सेचुर्लआईडी 800 सहित कई PKCS 11 क्रिप्टोग्राफ़िक उपकरणों से गुप्त कुंजी निकालने का एक कुशल तरीका विकसित किया।[14][15] इन निष्कर्षों को इंरिया तकनीकी रिपोर्ट RR-7944, ID hal-00691958 में प्रलेखित किया गया था।[16] और क्रिप्टो 2012 में प्रकाशित हुआ।[17]


डिजिटल हस्ताक्षर

एक नियमित हस्तलिखित हस्ताक्षर के रूप में विश्वसनीय, डिजिटल हस्ताक्षर एक निजी कुंजी के साथ किया जाना चाहिए जो केवल हस्ताक्षर करने के लिए अधिकृत व्यक्ति के लिए जाना जाता है। टोकन जो सुरक्षित ऑन-बोर्ड पीढ़ी और निजी कुंजियों के भंडारण की अनुमति देते हैं, सुरक्षित डिजिटल हस्ताक्षर सक्षम करते हैं, और उपयोगकर्ता प्रमाणीकरण के लिए भी उपयोग किए जा सकते हैं, क्योंकि निजी कुंजी उपयोगकर्ता की पहचान के प्रमाण के रूप में भी काम करती है।

टोकन के लिए उपयोगकर्ता की पहचान करने के लिए, सभी टोकन में किसी प्रकार की संख्या होनी चाहिए जो अद्वितीय हो। कुछ राष्ट्रीय कानूनों के अनुसार सभी दृष्टिकोण पूरी तरह से डिजिटल हस्ताक्षर के रूप में योग्य नहीं हैं।[citation needed] कुछ डिजिटल हस्ताक्षर परिदृश्यों में बिना ऑन-बोर्ड कीबोर्ड या अन्य उपयोगकर्ता इंटरफ़ेस वाले टोकन का उपयोग नहीं किया जा सकता है, जैसे कि बैंक खाता संख्या के आधार पर बैंक लेनदेन की पुष्टि करना जिसमें धनराशि स्थानांतरित की जानी है।

यह भी देखें

संदर्भ

  1. Schink, Marc; Wagner, Alexander; Unterstein, Florian; Heyszl, Johann (2021-07-09). "ओपन सोर्स सिक्योरिटी टोकन में सुरक्षा और भरोसा". IACR Transactions on Cryptographic Hardware and Embedded Systems: 176–201. doi:10.46586/tches.v2021.i3.176-201. ISSN 2569-2925. S2CID 235349083.
  2. "ओनलीकी हार्डवेयर पासवर्ड मैनेजर - याद रखने के लिए एक पिन". OnlyKey. Retrieved 16 April 2018.
  3. RD, Token2 (2019-01-07). "टाइम ड्रिफ्ट: TOTP हार्डवेयर टोकन का एक बड़ा नकारात्मक पक्ष". Medium (in English). Retrieved 2020-11-21.
  4. "TOTP हार्डवेयर टोकन में टाइम ड्रिफ्ट की व्याख्या और समाधान - प्रोटेक्टिमस सॉल्यूशंस". Protectimus (in British English). 2019-06-03. Retrieved 2020-11-21.
  5. de Borde, Duncan (2007-06-28). "दो तरीकों से प्रमाणीकरण" (PDF). Siemens Insight Consulting. Archived from the original (PDF) on 2012-01-12. Retrieved 2009-01-14.
  6. Specification for Integrated Circuit(s) Cards Interface Devices Archived 2005-12-29 at the Wayback Machine, usb.org
  7. Biba, Erin (2005-02-14). "क्या आपकी कार की चाबी से सुरक्षा को खतरा है?". PC World. Retrieved 2009-01-14.
  8. "किसी डिवाइस या सेवा, मास्टर ट्रांसीवर डिवाइस और ऐसे डिवाइस के साथ सिस्टम की रिलीज को नियंत्रित करने के लिए विधि". dpma.de. Retrieved 16 April 2018.
  9. "cgToken | सर्टिफिकेट". www.certgate.com. Archived from the original on 2013-10-09.
  10. "बॉयोमीट्रिक U2F OTP टोकन - HYPR". HYPR Corp. Retrieved 16 April 2018.
  11. Programmable hardware tokens Token2 miniOTP
  12. Leyden, John (2006-07-13). "फिशर टू-फैक्टर ऑथेंटिकेशन में चीर-फाड़ करते हैं". The Register (in English). Retrieved 2018-09-25.
  13. Krebs, Brian (July 10, 2006). "सिटीबैंक फिश स्पूफ्स 2-फैक्टर ऑथेंटिकेशन". The Washington Post. Retrieved 2018-09-25.
  14. Sengupta, Somini (2012-06-25). "Computer Scientists Break Security Token Key in Record Time". New York Times. Retrieved 2012-06-25.
  15. Owano, Nancy (2012-06-27). "Team Prosecco dismantles security tokens". Phys.org. Retrieved 2014-03-29.
  16. "Prosecco :: Publications". Retrieved 2014-03-29.
  17. "स्वीकृत कागजात क्रिप्टो 2012". Retrieved 2014-03-29.
General references

बाहरी संबंध