Bezpečnostní analytik společnosti SensePost vymyslel a publikoval postup, kterým je možné napodobit funkci softwarového generátoru jednorázových hesel v tokenu RSA SecurID. Díky několika snadným krokům je možné si generovat stejná čísla, která generuje softwarový token. O něm výrobce tvrdí, že jej není možné zkopírovat.
Metoda je postavena na reverzním inženýringu knihovny pro Windows, která generuje jednorázová hesla. Behrang Fouladi přišel na to, že je možné z tohoto software získat informace, které se používají při generování pseudonáhodných hesel. Se znalostí těchto informací je možné si softwarově generovat stejná čísla.
Teoreticky tedy stačí, aby kterýkoliv počítač, na který se tokenem přihlašujete, byl napaden útočníkem nebo nějakým vhodným škodlivým kódem a bezpečnost vašeho tokenu je prolomena. Útočník se znalostí vektoru využívaného pro generování hesel si tak může libovolně generovat hesla za vás a pomocí tohoto falešného tokenu se pak přihlásit ke všem vašim dalším počítačům. Potenciálně je prý ohroženo asi 40 milionů uživatelé této technologie.
(Zdroj: Slashdot)
