етокен пасс что это такое
SafeNet eToken PASS
Уникальный для российского рынка аппаратный генератор одноразовых паролей (пластмассовый брелок), работающий в одном из режимов: синхронизация по событию или синхронизация по времени. В случае использования синхронизации по событию пользователь для каждого входа в целевое приложение формирует значение одноразового пароля, которое позволяет выполнить аутентификацию только для одной сессии. В случае повторного использования значения одноразового пароля доступ к целевой системе будет отклонен. В случае использования синхронизации по времени аппаратный генератор одноразовых паролей через одинаковый промежуток времени формирует значение одноразового пароля, которое позволяет выполнить аутентификацию только для одной сессии в рамках временного интервала (30 или 60 секунд). В случае выхода за пределы временного интервала значение одноразового пароля будет признано не валидным, доступ к целевой системе будет отклонен.
Аппаратный ключ SafeNet eToken PASS может быть использован как один из доступных аутентификаторов для пользователей в решении SafeNet Authentication Service (как в локальной, так и в облачной редакции).
Этот ключ рекомендуется использовать для рядовых пользователей для усиления функции базовой (парольной) аутентификации.
OTP алгоритм безопасности: OATH (HOTP и TOTP доступны в SHA-1 и SHA-256)
Длина OTP: 6 символов
Тип символов OTP: Цифры
Время жизни батареи: 5-7 лет.
Корпус: Твердый пластик, защита от вскрытия
Настраиваемые элементы корпуса: Цвет корпуса, логотип, серийный номер
Рабочая температура: 0ºC to 70ºC (32ºF to 158ºF)
Брелок eToken PASS
Одноразовые пароли
Одноразовые пароли действительны только для одного сеанса аутентификации. Преимущество одноразового пароля по сравнению с обычным состоит в том, что одноразовый пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.
Назначение
Автономный генератор одноразовых паролей eToken PASS можно использовать для аутентификации в любых приложениях и службах, поддерживающих протокол аутентификации RADIUS: VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access и др.
Комплект разработчика eToken OTP SDK 2.0 позволяет легко добавить поддержку аутентификации по одноразовым паролям в собственные приложения.
Преимущества
Принцип работы
В eToken PASS реализован алгоритм генерации одноразовых паролей (One-Time Password — OTP), разработанный в рамках инициативы OATH. Этот алгоритм основан на алгоритме HMAC и хэш-функции SHA-1. Для расчета значения OTP принимаются два входных параметра: секретный ключ (начальное значение для генератора) и текущее значение счетчика (количество необходимых циклов генерации). Начальное значение хранится как в самом устройстве, так и на сервере в системе eToken TMS. Значение счетчика в устройстве увеличивается при каждой генерации OTP, на сервере — при каждой удачной аутентификации по OTP.
При запросе на аутентификацию проверка OTP осуществляется сервером RADIUS (Microsoft IAS, FreeRadius и другие), который обращается к системе eToken TMS, осуществляющей генерацию OTP на стороне сервера. Если введенное пользователем значение OTP совпадает со значением, полученным на сервере, аутентификация считается успешной, и RADIUS-сервер отправляет соответствующий ответ.
Партия устройств eToken PASS поставляется с зашифрованным файлом, содержащим начальные значения для всех устройств партии. Этот файл импортируется администратором в систему eToken TMS. После этого для назначения устройства пользователю необходимо ввести его серийный номер (печатается на корпусе устройства).
В случае нарушения синхронизации счетчика генерации в устройстве и на сервере система eToken TMS позволяет легко ее восстановить — привести значение на сервере в соответствие значению, хранящемуся в устройстве. Для этого администратор системы или сам пользователь (при наличии соответствующих разрешений) должен сгенерировать два последовательных значения OTP и отправить их на сервер через web-интерфейс eToken TMS.
В целях повышения безопасности система eToken TMS позволяет использовать дополнительное значение OTP PIN — в этом случае для аутентификации пользователь, помимо имени пользователя и OTP, вводит дополнительное секретное значение OTP PIN. Это значение задается при назначении устройства пользователю.
USB-ключи и смарт-карты eToken (модельный ряд)
USB-ключи и смарт-карты eToken ГОСТ — персональные устройства, предназначенные для формирования квалифицированной электронной подписи и обеспечивающие безопасность операций пользователей в массовых и социальных проектах в системах:
Комбинированный USB-ключ с дополнительным модулем flash-памяти, сочетающий возможности смарт-карты и защищенного хранилища данных.
USB-ключ с генератором одноразовых паролей, не требующий подключения к компьютеру.
USB-ключ, предоставляющий возможность безопасного доступа к web-ресурсам с любого компьютера без предварительной установки программного обеспечения.
eToken Pass Event
Ключ с генератором одноразовых паролей. Можно использовать для доступа по одноразовым паролям в: 1С-Bitrix, Open OTP, VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access. Ключ работает автономно, для его работы не нужно устанавливать драйвера.
Закажите eToken Pass сегодня, и вы сможете использовать:
Как рабоатет eToken Pass и для чего он нужен?
eToken PASS – ключ для автономной генерации одноразовых паролей (OTP). Не требует подключения к компьютеру и установки драйверов.
Нажимаете кнопку, получаете 6-значный одноразовый пароль для доступа к веб сайту или приложению. Вводите свой логин, постоянный пароль и пароль полученный от eToken Pass и получаете доступ к своей информации.
Безопасность обеспечивается за счет того что пароль, созданный eToken Pass, действует только один раз. Соответственно если ваш пароль был подсмотрен или перехвачен, второй раз им воспользоваться будет невозможно. Для повторного входа, нужно снова нажать кнопку и получить новый пароль.
Назначение eToken Pass
eToken Pass чаще всего использую для доступа к веб сервисам и порталам, разменным в интернет, когда нет возможности обеспечить строгую двухфакторую авторизацию. Например доступ к корпоративной почте Outlook Web Access.
Еще один популярный способ использования ключей это закрытые web порталы для доступа к которым нужны повышенные меры безопасности. Например закрытый портал платежной системы TrustPay для платежных агентов использует как раз ключи eToken Pass.
Использование одноразовых паролей можно внедрить в любую систему, Web портал или CMS, для этого нужен комплект разработчика eToken OTP SDK 2.0. Этот комплект разработчика позволяет легко внедрить поддержку входа на сайт по одноразовым паролям используя eToken Pass.
eToken Pass и 1С-Битрикс
В популярной CMS 1С-Битрикс уже реализована поддержка ключей eToken Pass. Если у вас сайт разработан на этой CMS то использовать ключи eToken Pass вы можете без каких-либо дополнительных затрат.
Поддержка eToken Pass работает во всех редакциях 1С-Битрикс кроме редакции Старт. Настройка eToken Pass находится в 1С-Битрикс, в модуле «Проактивная защита».
После настройки, для авторизации пользователя, использующего eToken Pass в 1С-Битрикс необходимо ввести логин пользователя и составной пароль, который состоит из слитного написания обычного пароля пользователя и значение одноразового пароля, полученное на eToken Pass.
Преимущества eToken Pass
Не нужно ничего устанавливать, ни драйвера, ни ПО.
Не нужно подключать к компьютеру.
Поддерживает любую ОС.
Можно работы через планшет или смартфон.
Одноразовый пароль действует только один раз, повторное использование кем-либо исключено.
Принцип работы eToken Pass
Вместе eToken Pass поставляется файл инициализации, в котором содержаться номер ключа и его секретные параметры, эти данные загружаются на сервер вашей системы при настройке и затем происходит синхронизация eToken Pass с сервером.
Вычисление одноразового пароля происходит по псевдослучайному вектору, иными словами зная текущее значение пароля и секретные данные eToken Pass, можно вычислить следующее значение одноразового пароля.
Именно так и происходит вычисление пароля на сервере, после удачной авторизации на севере происходит вычисление следующего пароля и система уже будет ждать его ввода.
Однако в данном случае может произойти ситуация при которой вы нажмете несколько раз кнопку на eToken Pass, а использовать эти пароли не будете, тогда ваш текущий пароль не совпадет со значением которое будет вычислено на сервере.
Окно синхронизации eToken Pass
Для решения подобных проблем есть параметр, который называется «окно синхронизации», он задает кол-во одноразовых паролей которые будет рассчитывать сервер при несовпадении ваших одноразовых паролей. Обычно это значение равно 10-15 паролям, если вы нажмете большее кол-во раз то выйдете за «окно синхронизации» и для дальнейшей работы потребуется повторная синхронизация с сервером, т.е. приведение значения на сервере в соответствие значению, хранящемуся в eToken Pass.
Способ генерации одноразового пароля в eToken Pass
Ключи eToken Pass бывают 2-х видов
eToken PASS
eToken PASS – автономный генератор одноразовых паролей, не требующий подключения к компьютеру и установки дополнительного программного обеспечения.
Назначение
Автономный генератор одноразовых паролей eToken PASS можно использовать для аутентификации в любых приложениях и службах, поддерживающих протокол аутентификации RADIUS – VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access и др.
Комплект разработчика eToken OTP SDK 2.0 позволяет легко добавить поддержку аутентификации по одноразовым паролям в собственные приложения.
Преимущества
Принцип работы
В eToken PASS реализован алгоритм генерации одноразовых паролей (One-Time Password – OTP), разработанный в рамках инициативы OATH. Этот алгоритм основан на алгоритме HMAC и хэш-функции SHA-1. Для расчета значения OTP принимаются два входных параметра – секретный ключ (начальное значение для генератора) и текущее значение счетчика (количество необходимых циклов генерации). Начальное значение хранится как в самом устройстве, так и на сервере в системе eToken TMS. Счетчик в устройстве увеличивается при каждой генерации OTP, на сервере – при каждой удачной аутентификации по OTP.
Партия устройств eToken PASS поставляется с зашифрованным файлом, содержащим начальные значения для всех устройств партии. Этот файл импортируется администратором в систему eToken TMS. После этого для назначения устройства пользователю необходим ввод его серийного номера (печатается на корпусе устройства).
В случае нарушения синхронизации счетчика генерации в устройстве и на сервере, система eToken TMS позволяет легко восстановить синхронизацию – привести значение на сервере в соответствие значению, хранящемуся в устройстве. Для этого администратор системы или сам пользователь (при наличии соответствующих разрешений) должен сгенерировать два последовательных значения OTP и отправить их на сервер через Web-интерфейс eToken TMS.
В целях усиления безопасности система eToken TMS позволяет использовать дополнительное значение OTP PIN – в этом случае для аутентификации пользователь помимо имени пользователя и OTP вводит дополнительное секретное значение OTP PIN. Это значение задается при назначении устройства пользователю.
Модификации
eToken жил, eToken жив, eToken будет жить
В последнее время меня часто спрашивают, что случилось с ключами eToken и почему их перестали продавать. Так же наблюдается некоторая паника по этому поводу, ввиду того, что большинство мировых вендоров поддерживает данные ключи в своих продуктах, а заменить их, получается нечем.
Ключи eToken никуда не исчезли, они продолжают выпускаться и продаваться на российском рынке. Да, они поменяли своё название и немного по-другому выглядят, но это всё те же eToken.
А теперь немного подробнее.
Знаменитый и самый узнаваемый ключ SafeNet eToken Java 72k, в простонародии «рыбка» теперь называется Gemalto SafeNet eToken 5100 и выглядит немного иначе:
| Было | Стало |
|  |
Однако, это тот же самый ключ и он точно так же поддерживается и работает во всех решениях, которые поддерживали SafeNet eToken Java 72k.
Смарт-карты eToken теперь тоже называются Gemalto SafeNet eToken 4100, но выглядит так же как и раньше – белый пластик с чипом:
| Было | Стало |
 | |
Выглядит так же, но называется по-другому.
При этом, сохранилась возможность имплантировать RFID-метки в карту для интеграции со СКУД.
Комбинированные SafeNet eToken NG-Flash так же в строю, и называются теперь Gemalto SafeNet eToken 7300. Внешний вид так же претерпел изменения:
| Было | Стало |
 |  |
Так что, если Вам кто-то скажет, что eToken больше не продаётся, не расстраивайтесь и не верьте, eToken есть, только он называется теперь по-другому.
Почему так произошло?
Во всём виноваты…. Да никто на самом деле не виноват. Просто таков бизнес.
После 2010 года израильская компания Aladdin Knowledge Systems была приобретена компанией SafeNet. Все продукты и решения, а также команда разработчиков из Aladdin Knowledge Systems перешли SafeNet и теперь там поддерживают и развивают решения по аутентификации. Естественно после приобретения был запущен процесс ребрендинга, который на российском рынке прошёл совсем незаметно.
Вот и получается, что ключи те же, а выглядят и называются по-другому.
Что нового?
После поглощения (или кому-то больше нравится слово слияние) и ребрендинга, компания SafeNet выпустила облачный продукт для аутентификации по одноразовым паролям, который пока является единственным решением, сертифицированным ФСТЭК. Данный продукт называется Gemalto SafeNet Authentication Service и доступен как в виде сервиса, так и в виде standalone сервера для развёртывания в корпоративной сети.
Теперь для OTP аутентификации доступны не только SafeNet eToken PASS, но и множество других аппаратных и программных генераторов:
Система управления жизненным циклом ключей и смарт-карт SafeNet Authentication Manager так же продолжает поддерживаться и развиваться компанией Gemalto (Safenet). В текущем году нас ожидает выпуск новой версии продукта Gemalto Safenet Authentication Manager 10.
Так же стоит упомянуть, что в конце 2015 года произошло слияние компаний Safenet и Gemalto. Так что в ближайшее время ключ eToken постигнет очередной ребрендинг, но сам ключ останется той же «рыбкой» eToken Pro.