Saltar para o conteúdo

Token (chave eletrônica)

Origem: Wikipédia, a enciclopédia livre.
 Nota: Se procura Token em informática, veja Token.
Token OTP RSA

Token é um dispositivo eletrônico gerador de senhas, geralmente sem conexão física com o computador, podendo também, em algumas versões, ser conectado a uma porta USB. Existe também a variante para smart cards e smartphones, que é capaz de realizar as mesmas tarefas do token. O modelo OTP (One Time Password) pode ser baseado em tempo (time based), gerando senhas dinâmicas a cada fração de tempo previamente determinada (ex. a cada 36 segundos), ou ainda baseado em evento (event based), gerando senhas a cada clique do botão, sendo essa senha válida até ao momento da sua utilização, não dependendo do tempo.

Existem outras funções do Token OTP, tais como desafios/respostas, onde o usuário lê um desafio numérico gerado em um site ou aplicação, digita esse desafio no token e obtém uma resposta que deve ser digitada na página da Internet ou aplicação — essa função tem a finalidade de verificar a veracidade do site ou aplicação. Outra aplicação é a assinatura de transação, onde o usuário digita os dados da transação (ex. dados de uma conta corrente e valor de uma transação de transferência de valores entre contas), o token, com base nesses dados, gera uma senha que serve somente para essa transação - essa função tem a finalidade de proteção contra ataques do tipo [man-in-the-middle]. Já existem dispositivos onde essa função tem a entrada de dados com captura óptica.

Existem variações de Tokens OTP, chamadados de Tokens Híbridos, que suportam também a função PKI (Public Key Infrastructure) ou Tokens Criptográficos, que geram e armazenam as chaves privadas e os certificados digitais, e possuem suporte para vários algoritmos de criptografia como o RSA, DES e 3DES.

Esses dispositivos são, geralmente, utilizados como um fator de segurança adicional em transações financeiras realizadas em canais remotos/Internet - conhecidos como segundo fator de autenticação.

Esse tipo de dispositivo eleva o nível de segurança e privacidade em caso de roubo de senhas, através de programas espiões como os trojans, mas podem ter seu mecanismo de segurança comprometido caso sejam pré-programados pelo fabricante, que fica obrigado a salvaguardar o código criptográfico de cada dispositivo que comercializou. Uma analogia que com respeito a isso poderíamos fazer seria a de considerar um fabricante de fechaduras com uma cópia de todas as chaves das fechadura que comercializou. Caso ocorra um ataque a essa base de dados, tokens falsos poderão utilizar o segredo dos tokens verdadeiros comercializados e que foram violados.

Ataques recentes mostram que esse tipo de token (pré-programados pelo fabricante) são pouco efetivos como demonstrado na invasão da Lockheed Martin, fabricante dos caças F22 e F35 do governo dos EUA, em que se utilizou tokens "falsos" para invadir o sistema, utilizando provavelmente código criptográfico roubado da base de dados do fabricante que os programou antes de enviá-los ao cliente usuário.

Porém, existem tokens que são comercializados "pré-programados" e que podem imprimir um grau de confidencialidade maior, muito mais granular para salvaguardar o segredo criptográfico de cada unidade antes de entregá-la a seus respectivos usuários finais. Tokens como os fabricados pela CRYPTOCard (agora SafeNet) eliminam esse inconveniente; são os comercializados sem programação alguma e possuem equipamento e sistema próprio (inicializadores) que permite programá-los de forma segura e confidencial dentro da empresa que irá utilizá-los antes de chegar nas mãos de cada usuário.

Ligações externas

[editar | editar código-fonte]
Ícone de esboço Este artigo sobre computação é um esboço. Você pode ajudar a Wikipédia expandindo-o.