Wat is een one-time password (OTP)?
een eenmalig wachtwoord (OTP) is een automatisch gegenereerde numerieke of alfanumerieke tekenreeks die een gebruiker verifieert voor een enkele transactie of aanmeldingssessie.
een OTP is veiliger dan een statisch wachtwoord, vooral een door de Gebruiker aangemaakt wachtwoord, dat zwak kan zijn en/of hergebruikt kan worden over meerdere accounts.
OTP ‘ s kunnen aanmeldingsgegevens voor authenticatie vervangen of kunnen als aanvulling worden gebruikt om een andere beveiligingslaag toe te voegen.
eenmalige wachtwoordvoorbeelden
OTP-beveiligingstokens zijn microprocessorgebaseerde smartcards of sleutelhangers in zakformaat die een numerieke of alfanumerieke code produceren om de toegang tot het systeem of de transactie te verifiëren. Deze geheime code verandert elke 30 of 60 seconden, afhankelijk van hoe het token is geconfigureerd.
apps voor mobiele apparaten, zoals Google Authenticator, vertrouwen op het tokenapparaat en de pincode om het eenmalige wachtwoord te genereren voor verificatie in twee stappen.
OTP-beveiligingstokens kunnen worden geïmplementeerd met behulp van hardware, software of op aanvraag. In tegenstelling tot traditionele wachtwoorden die statisch blijven of elke 30 tot 60 dagen verlopen, wordt het eenmalige wachtwoord gebruikt voor één transactie of inlogsessie.
hoe een eenmalig wachtwoord te verkrijgen
wanneer een niet-geverifieerde gebruiker probeert toegang te krijgen tot een systeem of een transactie uit te voeren op een apparaat, genereert een authenticatiebeheer op de netwerkserver een nummer of gedeeld geheim met behulp van eenmalige wachtwoordalgoritmen. Hetzelfde nummer en algoritme worden gebruikt door het beveiligingstoken op de smartcard of het apparaat om het eenmalige wachtwoord en de gebruiker te matchen en te valideren.
veel bedrijven gebruiken Short Message Service (SMS) om via de tekst een tijdelijke toegangscode aan te bieden voor een tweede authenticatiefactor. De tijdelijke toegangscode wordt verkregen uit de band via mobiele communicatie nadat de gebruiker zijn gebruikersnaam en wachtwoord op netwerkinformatiesystemen en transactie-georiënteerde webapplicaties invoert.
voor tweefactorauthenticatie (2FA) voert de gebruiker zijn gebruikers-ID, traditioneel wachtwoord en tijdelijke toegangscode in om toegang te krijgen tot het account of systeem.
hoe een eenmalig wachtwoord werkt
in OTP-gebaseerde authenticatiemethoden vertrouwen de OTP-app van de gebruiker en de authenticatieserver op gedeelde geheimen.
waarden voor eenmalige wachtwoorden worden gegenereerd met behulp van het HMAC-algoritme (Hashed Message Authentication Code) en een bewegende factor, zoals time-based information (TOTP) of een event counter (HOTP).
de OTP-waarden hebben minuten-of tweede tijdstempels voor meer veiligheid. Het eenmalige wachtwoord kan via verschillende kanalen aan een gebruiker worden geleverd, waaronder een SMS-gebaseerd SMS-bericht, een e-mail of een speciale applicatie op het eindpunt.Beveiligingsprofessionals maken zich al lang zorgen dat SMS-berichten spoofing en man-in-the-middle (MITM) – aanvallen kunnen worden gebruikt om 2FA-systemen te breken die afhankelijk zijn van eenmalige wachtwoorden. Echter, de VS National Institute of Standards and Technology (NIST) heeft plannen aangekondigd om het gebruik van SMS voor 2FA en eenmalige wachtwoorden af te wijzen, omdat de methode kwetsbaar is voor een assortiment aanvallen die deze wachtwoorden en codes in gevaar kunnen brengen. Als gevolg daarvan, bedrijven die overwegen de inzet van eenmalige wachtwoorden moeten verkennen andere leveringsmethoden naast SMS.
voordelen van een eenmalig wachtwoord
het eenmalige wachtwoord vermijdt veelvoorkomende valkuilen die IT-beheerders en beveiligingsmanagers tegenkomen met wachtwoordbeveiliging. Ze hoeven zich geen zorgen te maken over compositieregels, bekende slechte en zwakke wachtwoorden, het delen van referenties of hergebruik van hetzelfde wachtwoord op meerdere accounts en systemen.
een ander voordeel van eenmalige wachtwoorden is dat ze binnen enkele minuten ongeldig worden, waardoor aanvallers de geheime codes niet kunnen verkrijgen en hergebruiken.