Токен безопасности (аппаратный токен, USB-ключ, криптографический токен) — это дополнительный способ аутентификации пользователей и авторизации доступа к цифровым ресурсам. Токен безопасности содержит уникальные данные, которые делают доступ к системе более защищенным по сравнению с использованием только связки «логин-пароль». Он используется вместе с паролем и обеспечивает дополнительный уровень безопасности, поэтому для многофакторной аутентификации токены безопасности часто применяются наряду с другими методами, такими как SMS, биометрия и приложения для аутентификации.
Также понятие «токен» известно благодаря криптовалютам и блокчейну. В этом контексте под токенами подразумеваются цифровые активы, которые представляют определенную ценность или полезность. Они основаны на смарт-контрактах и распространяются по аналогии с первичным публичным размещением ценных бумаг на традиционных финансовых рынках. К токенам безопасности, о которых идет речь в этой статье, они отношения не имеют.
Существует два основных вида токенов: программные и аппаратные. Аппаратные токены — это физические устройства, которые генерируют и хранят данные для аутентификации, такие как USB-ключи. Под программными понимают цифровые решения, к которым можно получить доступ с другого устройства, например ноутбука или смартфона.
Есть три вида программных токенов.
Среди аппаратных токенов — их также зовут «криптографические токены» — можно выделить два типа: подключенные и бесконтактные.
Аппаратные токены безопасности используют в системах единого входа, в рамках обеспечения безопасности веб-приложений, аутентификации API и при безопасном удаленном доступе. С их помощью обеспечивают физический доступ человека в здание или применяют в качестве электронных подписей для документов. Но чаще всего токены безопасности служат для доступа к компьютерным сетям.
Основная задача токена безопасности — обеспечение дополнительного уровня аутентификации путем генерации уникальных кодов или криптографических данных для каждого сеанса. То есть пользователь каждый раз использует для входа в систему новый метод аутентификации, отличный от его обычного логина и пароля.
Выглядит это следующим образом: физическое устройство или программное приложение генерирует случайное число или одноразовый пароль, шифрует его с помощью криптографических алгоритмов и отправляет на сервер вместе с данными пользователя для аутентификации. Сервер проверяет сгенерированный токен и, если он верный, предоставляет пользователю доступ к ресурсам или отказывает в нем. В любом случае свой ответ сервер также отправляет в зашифрованном виде.
Основной недостаток аппаратных токенов доступа — продолжение их достоинств. Поскольку это физический объект, еге можно потерять или его могут украсть. И если пользователь не успел заявить о пропаже, токен может быть использован для доступа к привилегированным учетным записям и компьютерным системам.
Помимо этого, существуют нюансы, касающиеся интеграции. Компания должна убедиться, что выбранные токены совместимы с сетевой инфраструктурой и методами аутентификации.