co to jest jednorazowe hasło (OTP)?
jednorazowe hasło (OTP) to automatycznie generowany ciąg znaków numerycznych lub alfanumerycznych, który uwierzytelnia użytkownika podczas pojedynczej transakcji lub sesji logowania.
hasło jednorazowe jest bezpieczniejsze niż hasło statyczne, zwłaszcza hasło utworzone przez Użytkownika, które może być słabe i/lub ponownie użyte na wielu kontach.
OTP mogą zastępować dane logowania do uwierzytelniania lub mogą być używane jako dodatek do nich, aby dodać kolejną warstwę zabezpieczeń.
przykłady haseł jednorazowych
tokeny bezpieczeństwa OTP to mikroprocesorowe karty inteligentne lub kieszonkowe breloki, które wytwarzają kod numeryczny lub alfanumeryczny w celu uwierzytelnienia dostępu do systemu lub transakcji. Ten tajny kod zmienia się co 30 lub 60 sekund, w zależności od tego, jak token jest skonfigurowany.
aplikacje na urządzenia mobilne, takie jak Google Authenticator, polegają na urządzeniu z tokenem i pinie, aby wygenerować jednorazowe hasło w celu weryfikacji dwuetapowej.
tokeny bezpieczeństwa OTP mogą być implementowane przy użyciu sprzętu, oprogramowania lub na żądanie. W przeciwieństwie do tradycyjnych haseł, które pozostają statyczne lub wygasają co 30 do 60 dni, hasło jednorazowe jest używane do jednej transakcji lub sesji logowania.
jak uzyskać hasło jednorazowe
gdy użytkownik nieautentyczny próbuje uzyskać dostęp do systemu lub wykonać transakcję na urządzeniu, menedżer uwierzytelniania na serwerze sieciowym generuje numer lub udostępniony sekret, przy użyciu algorytmów haseł jednorazowych. Ten sam numer i algorytm są używane przez Token bezpieczeństwa na karcie inteligentnej lub urządzeniu do dopasowania i weryfikacji jednorazowego hasła i użytkownika.
wiele firm korzysta z usługi krótkiej wiadomości (SMS), aby zapewnić tymczasowe hasło za pośrednictwem tekstu dla drugiego czynnika uwierzytelniania. Tymczasowe hasło jest uzyskiwane z pasma za pośrednictwem komunikacji telefonicznej po wprowadzeniu przez użytkownika nazwy użytkownika i hasła w sieciowych systemach informacyjnych i aplikacjach internetowych zorientowanych na transakcje.
w przypadku uwierzytelniania dwuskładnikowego (2FA) użytkownik wprowadza swój identyfikator użytkownika, tradycyjne hasło i tymczasowy kod dostępu, aby uzyskać dostęp do konta lub systemu.
jak działa hasło jednorazowe
w metodach uwierzytelniania opartych na OTP aplikacja OTP użytkownika i serwer uwierzytelniania opierają się na udostępnionych tajemnicach.
wartości dla haseł jednorazowych są generowane przy użyciu algorytmu Haszowanego kodu uwierzytelniania wiadomości (HMAC) i czynnika ruchomego, takiego jak Informacja oparta na czasie (TOTP) lub licznik zdarzeń (HOTP).
wartości OTP mają minutowe lub drugie znaczniki czasu dla większego bezpieczeństwa. Jednorazowe hasło może być dostarczone użytkownikowi za pośrednictwem kilku kanałów, w tym wiadomości tekstowej SMS, wiadomości e-mail lub dedykowanej aplikacji w punkcie końcowym.
specjaliści od bezpieczeństwa od dawna obawiają się, że fałszowanie wiadomości SMS i ataki typu man-in-the-middle (MITM) mogą być wykorzystane do złamania systemów 2FA, które opierają się na jednorazowych hasłach. Jednak USA National Institute of Standards and Technology (NIST) ogłosił plany zaprzestania używania SMS – ów dla haseł 2FA i jednorazowych, ponieważ metoda jest podatna na szereg ataków, które mogłyby zagrozić tym hasłom i kodom. W rezultacie przedsiębiorstwa rozważające wdrożenie haseł jednorazowych powinny zbadać inne metody dostarczania poza SMS-ami.
korzyści z jednorazowego hasła
jednorazowe hasło unika typowych pułapek, z którymi borykają się administratorzy IT i menedżerowie bezpieczeństwa z zabezpieczeniem hasłem. Nie muszą się martwić o zasady kompozycji, znane-złe i słabe hasła, udostępnianie poświadczeń lub ponowne użycie tego samego hasła na wielu kontach i systemach.
Kolejną zaletą haseł jednorazowych jest to, że stają się one nieważne w ciągu kilku minut, co uniemożliwia atakującym uzyskanie tajnych kodów i ponowne ich użycie.