Hva er et engangspassord (OTP)?
ET ENGANGSPASSORD (OTP) er en automatisk generert numerisk eller alfanumerisk streng med tegn som godkjenner en bruker for en enkelt transaksjon eller påloggingsøkt.
EN OTP er sikrere enn et statisk passord, spesielt et brukeropprettet passord, som kan være svakt og/eller gjenbrukes på tvers av flere kontoer.
OTPs kan erstatte påloggingsinformasjon for autentisering eller kan brukes i tillegg til å legge til et annet sikkerhetslag.
Eksempler på engangspassord
OTP-sikkerhetstokener er mikroprosessorbaserte smartkort eller nøkkelfobber i lommestørrelse som produserer en numerisk eller alfanumerisk kode for å godkjenne tilgang til systemet eller transaksjonen. Denne hemmelige koden endres hvert 30. eller 60. sekund, avhengig av hvordan token er konfigurert.
apper For Mobilenheter, For Eksempel Google Authenticator, er avhengige av token-enheten og PIN-KODEN for å generere engangspassordet for totrinnsbekreftelse.
OTP – sikkerhetstokener kan implementeres ved hjelp av maskinvare, programvare eller på forespørsel. I motsetning til tradisjonelle passord som forblir statiske eller utløper hver 30. til 60. dag, brukes engangspassordet til en transaksjons-eller påloggingsøkt.
slik får du et engangspassord
når en uautorisert bruker forsøker å få tilgang til et system eller utføre en transaksjon på en enhet, genererer en godkjenningsbehandling på nettverksserveren et tall eller en delt hemmelighet ved hjelp av algoritmer for engangspassord. Det samme nummeret og algoritmen brukes av sikkerhetstoken på smartkortet eller enheten for å matche og validere engangspassordet og brukeren.
Mange bedrifter bruker Short Message Service (SMS) for å gi et midlertidig passord via tekst for en ekstra autentiseringsfaktor. Det midlertidige passordet er hentet ut av bånd via mobiltelefonkommunikasjon etter at brukeren har skrevet inn brukernavn og passord på nettverksinformasjonssystemer og transaksjonsorienterte webapplikasjoner.
for tofaktorautentisering (2FA) angir brukeren sin bruker-ID, tradisjonelt passord og midlertidig passord for å få tilgang til kontoen eller systemet.
hvordan et engangspassord fungerer
i OTP-baserte autentiseringsmetoder er brukerens OTP-app og autentiseringsserveren avhengig av delte hemmeligheter.
Verdier for engangspassord genereres ved hjelp AV ALGORITMEN HASHED Message Authentication Code (HMAC) og en bevegelig faktor, for eksempel tidsbasert informasjon (TOTP) eller EN hendelsesteller (HOTP).
OTP-verdiene har minutt eller andre tidsstempler for større sikkerhet. Engangspassordet kan leveres til en bruker via flere kanaler, inkludert EN SMS – basert tekstmelding, en e-post eller et dedikert program på endepunktet.
Sikkerhetspersonell har lenge vært opptatt av AT sms-meldingsspoofing og MAN-in-the-middle (MITM) – angrep kan brukes til å bryte 2FA-systemer som er avhengige av engangspassord. MEN USA. National Institute Of Standards And Technology (NIST) annonserte planer om å avskrive BRUKEN AV SMS FOR 2FA og engangspassord, da metoden er sårbar for et utvalg angrep som kan kompromittere disse passordene og kodene. Som et resultat bør bedrifter som vurderer distribusjon av engangspassord, utforske andre leveringsmetoder i TILLEGG TIL SMS.
Fordeler med et engangspassord
engangspassordet unngår vanlige fallgruver SOM IT-administratorer og sikkerhetsansvarlige møter med passordsikkerhet. De trenger ikke å bekymre seg for sammensetningsregler, kjente-dårlige og svake passord, deling av legitimasjon eller gjenbruk av samme passord på flere kontoer og systemer.
En annen fordel med engangspassord er at de blir ugyldige i løpet av minutter, noe som forhindrer angripere i å skaffe de hemmelige kodene og gjenbruke dem.