Token的功效 USB Token 並不如你所想的牢固

完善的多重身份識別對高度安全環境非常重要。即使是完備的密碼政策都會被駭客工具破解，或是使用者不小心地洩漏密碼以及寫在便利貼上。

USB的身份確認token提供安全管理者以你所擁有的以及你所知道的資訊，來鑑別身份。甚至，token提供一個安全儲存空間作為多重登入的身份證明，因此使用者只需要記住一個單一密碼或PIN即可存取VPN、登入銷售與行銷內部網路或員工的網站。這些功能讓USB token變成一個極具吸引力的身份識別解決方案。

從ActivCard, Aladdin Knowledge Systems, Authenex, DataKey (using a SafeNet token) 到Griffin Technologies，我們針對這些資訊安全token產品做安裝、設定、管控的容易度以及應用裝置的支援性測試，結果如何？雖然這些token本身都非常安全，我們發現在客戶端軟體有干擾性的安全弱點發生。每一個測試的token都有缺陷，可讓入侵者或竊賊能越過token以取得網路與內部硬碟的存取權。

這些測試也呈現了相當大的差異。但是首先，我們先檢閱這個未來極具發展性科技的安全問題。

token本身不是安全問題。一年前就曾觀察到韌體與憑證可以從硬體中複製出來，但是作業系統所支援的最新版的token才是漏洞，此漏洞可執行ARM微控制器來關掉存有重要資訊的快閃記憶體區塊。

弱點在客戶端軟體。製造商總是遺漏或忽略損害token安全以及降低其效能的問題。軟體真能提供安全的保障嗎？這五個所測試過的產品，每一個都有至少有一個以下的問題。
1. 明文的密碼 / PINs
身份確認程序由token上的軟體所控制。明文密碼 / PIN應該在送至token做身份識別前，預先雜湊加密過。在我們測試的三個產品中，我們發現密碼或加密文字以明文的方式存在硬碟中。這代表說任何一個駭客可以隨意找一台無人看管的電腦，偷竊其token，然後用磁碟編輯器搜尋硬碟找出密碼 / PIN。駭客於是就擁有了兩個識別可做雙重識別。

2. 跳過安全模式
假想一家非常大的企業，常常被其競爭對手的商業間諜鎖定，如果這些間諜可以掌握某位高階主管的桌上型電腦所含有的重要策略性資料，那麼不用USB token就可以啟動電腦，對他們來說是多麼的容易呢？可想而知，這將會像是孩童的遊戲一樣簡單。為什麼呢？因為間諜可以用安全模式開機，完全跳過token以及其軟體，來存取硬碟的資訊。 生產商說企業只要使用檔案資料夾的加密產品或採用PKI的解決方案，就不會有這種問題。但那都是本來就應該要有的，提供加密與PKI早就已是企業安全策略的一部份。

但是，即使在那種情況下，什麼才可以真正提供安全保護呢？問題應不在token上，我們應探究加密與PKI基礎建設的問題：token提供任何使得應用程式/網頁易於取得身份證明的價值嗎？網路登入元件確實無法提供安全層次上的保障，而且如果一個有心人士能破解或偷竊網路密碼，他就能利用網路以安全模式開機並手動登入到網路。

在現今先進的科技環境下，應是很容易建立一個機制來預防經由安全模式獲得存取權 Griffin Technologies已證實是可以做到的。 已經知道有這些缺陷，你就可以用來評斷產品的優缺點—是否易於安裝設定、管控以及它們所支援的各種功能。


ActivCard
ActivCard USB Key是所測試中最完善的解決方案，但仍然受限於明文密碼問題，而無法針對全部的功能模組進行測試。

ActivCard最強的功能是支援相當廣泛類型的應用程式。不幸地，我們無法全面性測試，因為ActivCard需要完整的PKI架構—而其他產品有中斷模式登入的選項。而且，ActivCard無法支援所有的客戶端軟體，因此也無法測試其GINA與Web credentialing(資訊安全要求製造商在他們的解決方案中提供完整的身份確認功能)。token可以防範跳越安全模式，而ActivCard將其密碼再做加密。

USB Key的功能非常驚人。ActivCard Gold加速登入網路的程序，並與現有的PKI基礎架構整合。除此之外，ActivCard 的ActivPack還提供one-time password的身份確認。此單一登入產品支援token做身份確認，並可在任何Windows, Web, Java或主機應用程式執行。此系列也包含支援VPN, 防火牆以及Citrix。

不幸地，這些產品每一個都需個別安裝，而且在架構基礎建設時只有單薄的說明文件做為指引；因此在大型企業中部署將會是個大挑戰。ActivCard非常迫切的需要一種輔助精靈的程序，可以讓他們所有客戶都可以自助式的安裝產品。

而基本的文件，雖然已十分完整並能簡單安裝、設定客戶端與管理端的元件。唯一的缺點就是線上說明文件內容太少。 ActivCard在五個測試產品中擁有最大範圍的平台支援 Windows, Novell, *nix與Mac OS—以及支援Active Directory and LDAP。

ActiveCard在五家製造商中，誇耀其美感的遠端協助桌面，可以讓飛行在30000英尺高空的使用者，即使忘記他的密碼，仍可使用一個暫時的密碼/PIN。 未來當ActivCard產品成熟時，將會非常值得關注。

Aladdin Knowledge Systems
Aladdin’s eToken雖然缺乏完整的文件令人失望，不過以其良好的功能，平順的安裝過程以及易於管理的特質，獲得總評分最佳。而在安全考量上，經由安全模式越過token的弱點，也不能作為初級使用者的選擇。

Aladdin支援相當多的應用程式，像是PC Guardian and Pointsec Mobile Technologies，特別支援其檔案以及資料夾加密。也支援Web-based的應用程式存取， VPN以及e-mail的安全保密。 Aladdin需要AD以及LDAP，但缺乏支援Novell以及*nix，這對於企業各種不同規模的導入Linux上會產生問題。

在安裝eToken上就簡單直接的多了。它是所測試產品中最優良的，但缺乏書面的說明文件是一大麻煩事。我們必須查閱許多大型的PDF檔案以及搜尋Aladdin的網站尋找解答。

相較於ActiveCard，此套產品對每項功能需要分開運作。原因是，因為其支援相當多類型的應用程式，而使得一個個的客戶端安裝變成一大負擔，且精靈導向的安裝介面在可用性上還有很長一段路要走。

Authenex
Authenex’s A-Key吹噓其支援最大數量的應用程式，但其折磨人的安裝過程以及安全漏洞令人失望—它容許越過安全模式而且在伺服器安裝時所需要的”秘鑰”竟以明文的方式存在硬碟裡。

我們花了好幾小時查閱Authenex冗長的文件中，有關開始安裝的線索。但是很糟糕的是，只有在最後的技術支援文件中才找到。

Authenex的銷售工程師一般來說會給我們書面文件，來幫助我們安裝。然而我們從未找到那些我們應該在Authenex網站上很容易取得的文件。 部署及管控上也是一個惡夢。Authenex除了儲存登入密碼資訊的模組外，幾乎所有都有獨立式的客戶端。這代表說除了一個個部署客戶端以及安裝所有更新外，企業還必須針對每個客戶端應用程式也做更新。

就版本控制上，這是一個非常頭痛的問題，對每一個客戶端，新的安全修補部署以及驗證任何版本的改變將不會對其他客戶端或其主機造成影響。Authenex只支援Microsoft GINA與AD。

伺服器安裝時需要兩個USB key來開啟及使用伺服器。注意：Windows 2000在安裝的過程中，當你插入key時會辨認新加入的硬體而重開機。伺服器需要兩個token，一個是用來做客戶端登入用。當你的電腦只有兩個USB插槽在前，而四個插槽在後時，這將變得相當麻煩。試著在Windows 2000重開機時，手動調換token的位置常讓人哭笑不得(因為又再一次地辨認新的硬體)。基本上，我們必須把token插入每一個USB插槽，直到Windows 2000完全辨認後為止。而對於Windows XP或2003都將不再是問題，因為這兩個系統在第一次存取時都會做所有的USB插槽的掃瞄。

這樣吹噓Authenex豐富的功能實在不令人苟同：網頁存取、廣泛性支援VPN、加密產品、保密性e-mail、防火牆以及Metainfo DHCP。Authenex擁有完善的元件，但必須要創造更高結合力與安全性的組合。大型企業將會發現使用A-Key是一大挑戰。

Datakey
Datakey軟體—我們所測試中軟體產品名叫SafeNet iKey—是一個高彈性，支援幾乎任何的應用程式，但需花費龐大的管控成本。資料庫伺服器還必需先建構，因為客戶端是由伺服器端所產生。

每一次安全管理者想要更動一個客戶端應用程式或更改單一政策，他們就必須創造與部署整個新執行程序。

每一個網站都需要一個各別的使用者名稱、登入與政策來描述客戶端與token的身份證明資訊。安全管理者必須手動創造一個新的執行程序來讓使用者在每一個應用程式儲存身份證明資訊，包含瀏覽器的前端到網頁e-mail、歷程及花費的回報網站、入口網站的狀態與利益等等。想像一下當更新多個固定的應用程式時，需擔心一台更改過的應用程式是否會”破壞”其他的應用程式，是多麼頭痛的事。

ActivCard, Aladdin與Authenex都為了可用性而犧牲了彈性。每一個都提供外部客戶端，因此如果產品有你所想要的VPN與網站存取功能，就符合你的需求；任何變革都是經由製造商做更新。想想Datakey所需承擔管理上的重擔以及其他製造商支援的應用程式，對大部分的企業而言很合理的會做這樣的取捨：低度彈性、少量工作量。

Datakey在安裝上就沒有任何束縛了，介面也確實非常優美，說明文件也簡單明瞭容易安裝。此產品在Microsoft, Novell與*nix也運作地很順暢。

此套產品包含Smart Recovery，是一個相當實用的裝置，可讓使用者在遺失token時仍能獲得基本的網路存取權。

但是，Datakey在安全上仍不足，密碼等身份認證資訊以明文方式儲存在硬碟上，token也可在安全模式時跳過。

Griffin Technologies
Griffin Technologies的SecuriKey產品也需要先建構好伺服器。然而，這比較沒那麼麻煩；因為Griffin只提供最基本的USB token功能—網路登入身份確認—且也不提供任何網頁／應用程式身份認證資訊的儲存體或支援LDAP。

依照著優良的說明文件，伺服器與客戶端的安裝非常容易。 然而，額外的手冊及文件只能從技術支援中取得，而且線上協助不實用。實際上幾乎不可能找出如何手動更改token的密碼。一般來說，我們通常只從說明選單中找到基本的視窗指令說明—而不是Griffin的產品說明。

很明顯的，SecuriKey是唯一可以阻擋安全模式存取的產品。然而，我們卻在硬碟中找到以明文方式儲存的密碼檔。

就像Datakey，都會有客戶端的功能可支援廣泛的跨平台需求。Griffin正努力進入競賽場中，但整體來說他們將面臨與效能競賽的旅途。

沒有真正適合的產品
這些產品沒有一個達到該有的需求。全部都有很嚴重的安全漏洞，在安裝、管理過於繁複，以及應用程式支援的不足。

整體來說，Aladdin與 ActivCard是比較值得注意的，但兩者都需要更強結合性的客戶端安裝程序。大型企業將不會想要保有多重客戶端元件，來保證安全層次如同預期的進行平順。

Authenex需要專注在客戶端的可用性上。它有強大的科技以及大範圍的客戶端整合，但此套產品相當難操縱，而且將會是維護上的一個噩夢。 Griffin是非常基本的網路登入客戶端產品，還需要更豐富的功能。不論如何，它應要有安全模式的阻絕能力，這點我們認為非常重要。

本文作者Tom Bowers (tbowers@net4NZIX.com) 為CISSP, PMP, Certified Ethical Hacker，他是Fortune 雜誌100大藥廠公司的資訊安全顧問。