jednorázové heslo nebo OTP je heslo, které je platné pouze jednou. OTP lze použít ke zvýšení bezpečnosti a podpoře silné autentizace. Tento článek vysvětlí základy OTP a jak je lze implementovat.
dnes většina podnikových sítí vyžaduje pouze uživatelské jméno a statické heslo pro přístup k osobním a citlivým datům. Tento typ jednofaktorové autentizace je velmi pohodlný, v našem moderním světě však není příliš bezpečný. Většina lidí chápe, že by měli používat jedinečná hesla pro každý online účet. Přesto 69% z nás používá stejné heslo.
navíc 47% lidí používá heslo, které je starší než 5 let a nejčastěji používané heslo je “ 123456 – – používá ohromující 17% lidí. Co je ještě horší, poutavé 95 procent lidí sdílí až 6 hesel se svými přáteli.
i když jsou vaši koncoví uživatelé dobří s hesly (pro každý online účet používají jiné silné heslo a nikdy je nikde nezapisují), mohou být stále ohroženi malwarem keylogging nebo útoky typu man-in-the-middle. Jak tedy chráníte sebe a nejcennější majetek vaší společnosti před špatnou hygienou hesel nebo elektronickým odposlechem? Jedním ze způsobů je použití „jednorázového hesla“ – jednorázového hesla, které je platné pouze „jednou“.
co je jednorázové heslo?
jednorázová hesla jsou hesla, která jsou platná pouze pro jednu přihlašovací relaci nebo transakci, a proto poskytují ochranu před různými útoky založenými na heslech, konkrétně útoky na čichání hesel a opakování. OTP je obvykle řada čísel nebo znaků, které jsou generovány automaticky.
aby tento systém fungoval, musí se heslo změnit pokaždé, když je použito, ale také musí existovat nějaká synchronizace mezi neustále se měnícím heslem, používaným počítačovým systémem nebo aplikací a koncovým uživatelem. Tato synchronizace musí také probíhat bez přenosu dat pomocí nezabezpečených metod, jako je e-mail.
jak se synchronizují jednorázová hesla?
jednorázová hesla mohou být generována několika způsoby a každý z nich má kompromisy z hlediska bezpečnosti, pohodlí a nákladů.
synchronizace času
jedním z přístupů ke generování jednorázových hesel je použití synchronizace času. Každý uživatel má osobní token (který může vypadat jako malá kalkulačka nebo klíčenka) s displejem, který zobrazuje číslo, které se občas mění. Uvnitř osobního tokenu jsou hodiny, které byly synchronizovány s hodinami na proprietárním autentizačním serveru. Zařízení i aplikační server generují nové OTP na základě numerické verze aktuálního času.
časově synchronizovaná hesla nemusí být vždy perfektní a obvykle existuje okno, kde budou přijímána starší nebo novější hesla. To se děje jednoduše proto, že čtení a zadání OTP trvá lidem trochu času, takže by například bylo neobvyklé, aby se heslo měnilo každou sekundu, protože koncový uživatel by neměl dostatek času na zadání hesla dříve, než se stane neplatným.
heslo samo o sobě je obvykle hash aktuálního času-např. 16.43 se stává 1643, který je pak spuštěn pomocí generátoru kódu a matematického procesu nazývaného hash funkce (nebo hash kód) pro generování jedinečného 10místného kódu, což je jednorázové heslo.
čas je proto důležitou součástí algoritmu hesel, protože generování nových hesel je založeno na „aktuálním čase“. Pokud se hodiny dostanou příliš daleko, token nebude generovat správná hesla a bude třeba je resetovat. Aby se předešlo problému různých časových pásem, lze použít unixové časové razítko, což je koordinovaný univerzální čas.
Lock-step
druhá metoda zahrnuje počítačový systém a token začínající stejným sdíleným číslem(nazývaným semeno). Pokaždé, když je vygenerováno nové heslo, token zařízení zvýší svůj vlastní interní čítač a pokaždé, když se skutečně přihlásíte, server také zvýší jeho počítadlo.
je možné se dostat z kroku generováním hesel, která se nepoužívají, což má za následek, že čítač v tokenu postupuje více než čítač na aplikačním serveru. Tolerance je však obvykle vytvořena tak, že věci mohou být trochu mimo synchronizaci a server se (obvykle) automaticky znovu synchronizuje v případě, že se stane mimo krok.
tato technika OTP se nazývá synchronizace lock-step nebo counter, a přestože je stále vyžadován proprietární hardware, netrpí nevýhodou, že musí udržovat hodiny v čase.
transmission-based OTP
třetí přístup je zcela odlišný. Namísto dvou zařízení, která jsou nezávisle zodpovědná za svá vlastní hesla (která jsou poté porovnána z hlediska platnosti), jsou hesla náhodně generována autentizačním serverem. Protože toto heslo je zcela náhodné, není možné, aby tokenové zařízení automaticky zůstalo v kroku, proto musí být OTP aktivně sděleno koncovému uživateli.
tyto typy jednorázových hesel jsou často označovány jako „SMS-OTP“, protože jsou nejčastěji odesílány textovou zprávou, ale mohou být také generovány aplikací nebo ručním elektronickým zařízením (nazývaným bezpečnostní token) nebo v některých případech mohou být dokonce vytištěny a zaslány poštou. Pokud chcete ověřit, systém Vám zašle vaše heslo a pomocí hesla se přihlásíte. Jednou z obrovských výhod této metody je, že eliminuje potřebu poskytovat a udržovat proprietární hardware.
jak se přenášejí jednorázová hesla?
jednorázová hesla mohou být sdělena koncovým uživatelům několika způsoby a každý z nich má kompromisy z hlediska bezpečnosti, pohodlí a nákladů.
jednorázové heslo prostřednictvím SMS zprávy
tato metoda vyžaduje spolehlivou a vysoce kvalitní službu SMS. Jakmile uživatel během přihlášení vyplní správné uživatelské jméno a heslo, spustí se textová zpráva s OTP, která je odeslána na mobilní číslo registrované na účet uživatele. Uživatel pak dokončí proces ověřování zadáním kódu zobrazeného ve zprávě SMS do přihlašovací obrazovky aplikace. Koncovým uživatelům je obvykle povoleno určité časové období před vypršením platnosti hesla.
jednorázové heslo pomocí hlasu
alternativou k SMS je hlas, který používá existující pevnou linku nebo mobilní telefon k přijímání mluveného hesla jako telefonního hovoru na pevné nebo mobilní číslo uživatele. Výhodou této metody je, že hesla nejsou uložena v telefonu uživatele a navíc vám umožňují oslovit uživatele s omezeným zrakem. S tímto řešením je však spojena cena za použití a vyžaduje, aby fungovala již zavedená pevná linka nebo mobilní číslo.
hesla jsou také omezena na krátké řetězce znaků, jinak je přenos hesla z hovoru na přihlašovací obrazovku pro uživatele obtížný nebo vyžaduje několik pokusů o získání shody.
jednorázové heslo e-mailem
pokud je e-mailový účet zapsán spolu s uživatelským účtem, mohou být jednorázová hesla odeslána na e-mailovou adresu pro ověření během přihlášení. Doručování e-mailů pro jednorázová hesla je nákladově efektivní možností, může však být obětována bezpečnost a použitelnost. E-mail nebyl zamýšlen jako centrum našeho digitálního života tak, jak je tomu nyní, takže nebyl navržen s ohledem na bezpečnost nebo soukromí.
91% všech kybernetických útoků začíná e-mailem a je to nejméně bezpečná metoda pro dvoufaktorovou autentizaci. Závisí také na tom, že uživatelé mají konzistentní přístup k e-mailovému účtu. Uživatelé mohou také při pokusu o přístup ke svému e-mailovému účtu získat přístup k OTP žádosti o obnovení hesla a časové limity.
jednorázové heslo poštou
poštovní systém funguje v podstatě stejným způsobem jako jiné systémy zasílání zpráv, ale sdělení hesla koncovému uživateli trvá déle. Platnost hesla je proto prodloužena, aby se umožnilo zpoždění v tranzitu. Některé banky budou posílat dlouhé vytištěné seznamy jednorázových hesel (tzv. transakční autentizační čísla nebo Tan) organizacím, které budou používat v podnikovém bankovnictví. Banka má odpovídající seznam hesel uložených ve svém počítačovém systému a hesla musí být použita postupně, aby byla zajištěna shoda.
seznamy a číselné mřížky nabízejí nákladově efektivní řešení pro OTP, ale jsou pomalé a nejsou příliš uživatelsky přívětivé. Uživatel musí udržovat seznam hesel, které se často musí používat postupně, a pokud je váš seznam hesel zkopírován nebo spadne do nesprávných rukou, někdo má všechna vaše hesla.
jednorázové heslo přes Push notification
jednorázová hesla přes Push jsou podobná jednorázovým heslům založeným na SMS, tentokrát je však automaticky generované heslo odesláno jako oznámení push do aplikace v zařízení uživatele. Po odeslání oznámení push do aplikace uživatel zkopíruje kód na přihlašovací obrazovku, aby ověřil svou totožnost. Push notifikace je nákladově nejefektivnější řešení, protože používá existující zařízení (např. mobilní zařízení uživatelů) a nevznikají náklady na SMS zprávy.
je to také jedno z nejbezpečnějších řešení a jeho uživatelsky přívětivé. U moderních mobilních telefonů můžete dokonce zahrnout třetí ověřovací faktor, jako je biometrické skenování (např. Nevýhody jsou také velmi minimální – oznámení push vyžadují vyhrazenou aplikaci a přístup k aplikacím podléhá ztrátě mobilního telefonu.
hybridní jednorázové heslo (to nejlepší z obou světů)
můžete kombinovat silné stránky SMS a push zpráv a používat hybridní systém. Heslo je zpočátku odeslán push oznámení, které je rychlé a nákladově efektivní, ale pokud váš uživatel nemá nainstalovanou aplikaci nebo je v režimu offline, heslo lze odeslat prostřednictvím SMS. Můžete také přidat třetí záložní možnost, že heslo bude doručeno hlasem, pokud push a SMS z nějakého důvodu selhaly.
váš výchozí způsob doručení hesla může být nejúčinnější při snižování nákladů, ale pomocí hybridního řešení zajistíte, že uživatelé mohou vždy získat přístup k vaší aplikaci, což zase podporuje lepší zapojení aplikací.
OTP může poskytnout velkou bezpečnost a silnou autentizaci.
závěr
průměrný obchodní uživatel má 191 hesel a zadává průměrně 8 různých hesel denně. Více často než ne, to má za následek, že vaši koncoví uživatelé buď používají stejná hesla pro více účtů, zapisují svá hesla do poznámek post-it, nebo bombardují váš IT helpdesk pomocí požadavků na resetování hesla – v průměru žádosti o resetování hesla tvoří 10% -30% všech hovorů IT helpdesk.
dvoufaktorová autentizace je zvláště důležitá, pokud jde o ochranu podnikových dat před počítačovou kriminalitou a podvody. Nejdůležitější výhodou OTP je, že na rozdíl od statických hesel nejsou zranitelní vůči opakovaným útokům.
dvoufaktorová autentizace (ve formě jednorázových hesel) ztvrdne tradiční ID uživatele a statický systém hesel přidáním dalšího dynamického pověření. I když vaši uživatelé používají stejné (nebo podobné) heslo pro každý systém, váš systém je méně zranitelný, protože je nepravděpodobné, že by hacker ohrozil obě vrstvy zabezpečení.
k dispozici je také třetí dostupný faktor, např. otisky prstů, skenování sítnice, hlasový tisk, rozpoznávání obličeje atd., které lze použít k přidání další vrstvy zabezpečení. Je logické, že čím více faktorů je zapotřebí k ověření, tím bezpečnější budou vaše systémy.
Klikněte zde pro našeho průvodce Strong Customer Authentication (SCA), což je požadavek na online platby do konce roku 2020.
na druhou stranu je pro lidské bytosti obtížné zapamatovat si silná jednorázová hesla, a proto vyžadují další technologii k práci. U systémů OTP, které se spoléhají na synchronizaci lock-step nebo counter, se generátory hesel musí vyrovnat se situací, kdy elektronický token zmizí ze synchronizace se svým serverem, což vede k dodatečným nákladům na vývoj. Časově synchronizované systémy se tomu naproti tomu vyhýbají na úkor nutnosti udržovat hodiny v elektronických žetonech(a offsetovou hodnotu, která odpovídá posunu hodin).
nejlevnější (a nejlepší) řešení jsou ta, která poskytují OTP bez nákladů spojených s proprietárním hardwarem. Jednoduché metody, jako jsou ručně generované seznamy nebo číselné mřížky, nabízejí nízkonákladová řešení, ale jsou pomalá a obtížně udržovatelná. Uživatelé jsou povinni nosit seznam hesel kolem a sledovat, kde jsou v seznamu.
navíc, pokud se seznam dostane do nesprávných rukou, pak má někdo všechna vaše hesla. Nejlepší řešení proto používají existující zařízení (např. mobilní telefon) a poskytují jednorázová hesla bez nákladů spojených se zprávami SMS (tj.
Klikněte zde a přečtěte si naše myšlenky na sdílení hesel (víme, že jste za to také vinni!
Chcete-li zachovat vaše firemní data v bezpečí, musíte vědět, jak generovat bezpečná jednorázová hesla pro silnou dvoufaktorovou nebo vícefaktorovou autentizaci. Musíte také vědět, jak distribuovat jednorázová hesla klientům nebo zaměstnancům, aby systém, který jste vytvořili, nebyl náchylný k útoku. Promluvte si s bezpečnostním expertem, jako je 10Duke, abyste zjistili, jak implementovat bezpečnou dvoufaktorovou nebo vícefaktorovou autentizaci, aby vaši zaměstnanci a vaše aplikace byly v bezpečí.