Behrang Fouladi remek blogposztot tett közzé a szoftveres SecurID tokenek működéséről, másolási illetve klónozási lehetőségeiről. A szoftveres SecurID a hardveres (kulcstartós) megoldáshoz hasonlóan két faktoros autentikációhoz használatosak, létezésüket az okos mobil eszközök egyre nagyobb elterjedtségével indokolják.
Fouladi a Windows-ra készült verziót kapkodta szét és talált néhány érdekességet. A gyártó szerint a szoftver tokenek eszközhöz köthetők, vagyis elméletileg nem lehet ugyanazt a tokent használni két eltérő munkaállomáson. A valóság ezzel szemben az, hogy a kötéshez használt DeviceSerialNumber paraméter Windows-on az aktuális felhasználó SID-jéből, valamint a gép hosztnevéből származik, melyek nem pusztán könnyen kitalálható (brute-force), de akár távolról lekérdezhető (DNS, RPC) adatok.
A másik közzétett módszer a token adatbázis lemásolásának és megfejtésének módját adja meg. Az álvéletlen generáláshoz használt seed illetve checksum értékek egy SQLite adatbázisban vannak tárolva, a Windows Data Protection API segítségével titkosítva a géphez illetve a felhasználóhoz tartozó mesterkulcsokkal. A gyártó szerint ez a titkosságon túl másolásvédelmet is jelent, ez azonban csak addig igaz, amíg a támadó nem rendelkezik rendszer szintű jogkörrel a szoftver tokent futtató gépen. Ekkor ugyanis az egyszerű fájlokban tárolt kulcsok triviálisan lemásolhatók a token adatbázissal együtt. Ezek birtokában a támadó tetszőleges jövőbeni időpontra kiszámíthatja a token által generált egyszeri kulcs értékét.
Mindez persze nem jelent túl nagy meglepetést a információbiztonságban járatosabbak számára: ha egy helyen van tárolva a titkosított adat és a kulcs, egy kellően erős támadó számára a titkosítás lényegében nem létezik. Fouladi leírása azonban felnyithatja azok szemét, akik eddig pusztán az RSA sales anyagaira támaszkodva alakították ki két faktoros autentikációs rendszerüket, másrészt biztonsági tesztekkor is jól jöhet egy ilyen összefoglaló a hadra fogott biztonsági szakértőknek.
A szoftveres megvalósításból eredő gyengeségek célszerűen hardverből orvosolhatók: aki teheti, használjon TPM chipes kötést illetve titkosítást, vagy vegye meg a hardveres implementációt - és feledkezzen meg az elmúlt év eseményeiről.