Tras la filtración del algoritmo de SecurID el año pasado, aún no se conocía cómo se generaba la semilla inicial. Sin embargo el investigador Behrang Fouladi, de SensePost, ha publicado un estudio en el que se concreta cómo se calcula y dónde se almacena esta semilla en las versiones software de RSA SecurID. A partir de esta información, el número podría ser fácilmente clonado en un equipo ajeno al sistema de autenticación.
SecurID es uno de los productos estrella de RSA, compañía subsidiaria de EMC. Ofrece autenticación de doble factor, que consiste en complementar un PIN conocido por el usuario ("algo que se sabe") con un número generado por un dispositivo llamado token ("algo que se tiene"). Este número cambiaría tras un intervalo de tiempo determinado. La contraseña, por tanto, sería la concatenación del PIN y el número generado pseudo-aleatoriamente.
LEER MAS: http://unaaldia.hispasec.com/2012/05/posible-metodo-para-clonar-los-tokens.html