engangsadgangskode eller en OTP er en adgangskode, der kun er gyldig en gang. OTP ‘ er kan bruges til at forbedre sikkerheden og understøtte stærk godkendelse. Denne artikel vil forklare det grundlæggende i OTP ‘ er og hvordan de kan implementeres.
i dag kræver de fleste virksomhedsnetværk kun et brugernavn og en statisk adgangskode for at få adgang til personlige og følsomme data. Denne type enkeltfaktorautentificering er meget praktisk, men den er ikke særlig sikker i vores moderne verden. De fleste mennesker forstår, at de skal bruge unikke adgangskoder til hver online konto. Alligevel bruger 69% af os den samme adgangskode alligevel.
desuden bruger 47% af mennesker en adgangskode, der er mere end 5 år gammel, og den mest anvendte adgangskode er ‘123456’ – brugt af svimlende 17% af mennesker. Hvad er endnu værre, en øjenvandende 95 procent af mennesker deler op til 6 adgangskoder med deres venner.
selvom dine slutbrugere er gode med adgangskoder (de bruger en anden stærk adgangskode til hver online konto og aldrig skriver dem ned overalt), kan de stadig blive kompromitteret af keylogging ondsindede programmer eller man-in-the-middle angreb. Så hvordan beskytter du dig selv og din virksomheds mest værdifulde aktiver mod dårlig adgangskodehygiejne eller elektronisk aflytning? En måde er at bruge en ‘engangsadgangskode’-en engangsadgangskode, der kun er gyldig ‘en gang’.
Hvad er en engangsadgangskode?
engangsadgangskoder er adgangskoder, der kun er gyldige til en login-session eller transaktion, hvilket giver beskyttelse mod forskellige adgangskodebaserede angreb, specifikt adgangskodesniffing og replay-angreb. En OTP er typisk en række tal eller tegn, der genereres automatisk.
for at dette system skal fungere, skal adgangskoden ændres, hver gang den bruges, men der skal også være en slags synkronisering mellem den stadigt skiftende adgangskode, computersystemet eller applikationen, der bruges, og slutbrugeren. Denne synkronisering skal også finde sted uden at overføre data via usikre metoder såsom e-mail.
hvordan synkroniseres engangsadgangskoder?
engangsadgangskoder kan genereres på flere måder, og hver enkelt har afvejninger med hensyn til sikkerhed, bekvemmelighed og omkostninger.
tidssynkronisering
en tilgang til generering af engangsadgangskoder er at bruge tidssynkronisering. Hver bruger har et personligt token (som kan ligne en lille lommeregner eller en nøglering) med et display, der viser et tal, der ændres lejlighedsvis. Inde i det personlige token er et ur, der er synkroniseret med uret på den proprietære godkendelsesserver. Enheden og applikationsserveren genererer begge nye OTP ‘ er baseret på en numerisk version af den aktuelle tid.
tidssynkroniserede adgangskoder behøver ikke altid at være et perfekt match, og der er typisk et vindue, hvor ældre eller nyere adgangskoder accepteres. Dette gøres simpelthen fordi det tager mennesker lidt tid at læse og indtaste OTP, så det ville for eksempel være usædvanligt, at en adgangskode ændres hvert sekund, da slutbrugeren ikke ville have tid nok til at indtaste adgangskoden, før den bliver ugyldig.
selve adgangskoden er normalt en hash af den aktuelle tid-f.eks. bliver 16.43 til 1643, som derefter køres gennem en kodegenerator og en matematisk proces kaldet en hash-funktion (eller hash-kode) for at generere en unik 10-cifret kode, som er engangsadgangskoden.
tid er derfor en vigtig del af adgangskodealgoritmen, da genereringen af nye adgangskoder er baseret på ‘aktuel tid’. Hvis urene kommer for langt ud af trin, genererer token ikke korrekte adgangskoder og skal nulstilles. For at undgå problemet med forskellige tidssoner kan der anvendes en ensartet tidsstempel, som er en koordineret universel tid.
Lock-step
den anden metode involverer computersystemet og token, der starter med det samme delte nummer (kaldet et frø). Hver gang en ny adgangskode genereres, øger token-enheden sin egen interne tæller, og hver gang du rent faktisk logger ind, øger serveren også derefter tælleren.
det er muligt at komme ud af trin ved at generere adgangskoder, der ikke bruges, hvilket resulterer i tælleren i token fremrykkende mere end tælleren på applikationsserveren. Imidlertid oprettes tolerance normalt, så tingene kan være lidt ude af synkronisering, og serveren synkroniseres (normalt) automatisk, hvis den bliver ude af trin.
denne OTP-teknik kaldes lock-step eller counter synkronisering, og selvom proprietært udstyr stadig er påkrævet, lider det ikke af ulempen ved at skulle holde ure i tide.
Transmissionsbaseret OTP
den tredje tilgang er helt anderledes. I stedet for at to enheder er uafhængigt ansvarlige for deres egne adgangskoder (som derefter sammenlignes for gyldighed), genereres adgangskoder tilfældigt af godkendelsesserveren. Da denne adgangskode er helt tilfældig, er det ikke muligt for en token-enhed automatisk at forblive i trin, derfor skal OTP ‘ en kommunikeres aktivt til slutbrugeren.
disse typer engangsadgangskoder kaldes ofte “SMS-OTP”, da de oftest sendes via SMS, men de kan også genereres af en app eller en håndholdt elektronisk enhed (kaldet et sikkerhedstoken), eller i nogle tilfælde kan de endda udskrives og sendes med post. Når du vil godkende, sender systemet din adgangskode til dig, og du bruger adgangskoden til at logge ind. En af de store fordele ved denne metode er, at den eliminerer behovet for at levere og vedligeholde proprietært udstyr.
hvordan transmitteres engangsadgangskoder?
engangsadgangskoder kan meddeles slutbrugerne på flere måder, og hver enkelt har afvejninger med hensyn til sikkerhed, bekvemmelighed og omkostninger.
engangsadgangskode via SMS-besked
denne metode kræver en pålidelig SMS-service af høj kvalitet. Når brugeren har udfyldt det korrekte brugernavn og adgangskode under login, udløses en sms med en OTP, som sendes til det mobilnummer, der er registreret på brugerens konto. Brugeren afslutter derefter godkendelsesprocessen ved at indtaste koden, der vises i SMS-beskeden, i applikations login-skærmen. Slutbrugere er normalt tilladt en vis periode, før adgangskoden udløber.
engangsadgangskode via Voice
et alternativ til SMS er Voice, der bruger en eksisterende fastnet eller mobiltelefon til at modtage en talt adgangskode som et telefonopkald på brugerens fastnet-eller mobilnummer. Fordele ved denne metode er, at adgangskoder ikke gemmes på brugerens telefon, plus det giver dig mulighed for at nå brugere med begrænset syn. Brug forbundet med denne løsning, og det kræver et allerede etableret fastnet-eller mobilnummer for at fungere.
adgangskoder er også begrænset til korte tegnstrenge, ellers bliver det vanskeligt for brugeren at overføre adgangskoden fra opkaldet til loginskærmen eller kræver flere forsøg på at få et match.
engangsadgangskode via e-mail
hvis en e-mail-konto er tilmeldt sammen med en brugerkonto, kan engangsadgangskoder sendes til en e-mail-adresse til godkendelse under login. E-mail-levering til engangsadgangskoder er en omkostningseffektiv mulighed, men sikkerhed og brugervenlighed kan ofres. E-mail var ikke beregnet til at være centrum for vores digitale liv på den måde, det er nu, så det var ikke designet med nogen sikkerhed eller privatliv i tankerne.
91% af alle cyberangreb starter med e-mail, og det er den mindst sikre metode til tofaktorautentificering. Det er også afhængig af brugere, der har konsekvent adgang til en e-mail-konto. Brugere kan også pådrage sig anmodninger om nulstilling af adgangskode og timeout, når de prøver at få adgang til deres e-mail-konto for at få adgang til OTP.
engangsadgangskode via post
et mailbaseret system fungerer stort set på samme måde som andre meddelelsessystemer, men adgangskoden tager længere tid at blive kommunikeret til slutbrugeren. Gyldigheden af adgangskoden udvides derfor for at muliggøre forsinkelser i transit. Nogle banker sender lange trykte lister over engangsadgangskoder (kaldet transaktionsgodkendelsesnumre eller TANs) til organisationer, som de kan bruge i business banking. Banken har en matchende liste over adgangskoder, der er gemt på sit computersystem, og adgangskoder skal bruges i rækkefølge for at sikre et match.
lister og nummergitter tilbyder omkostningseffektive løsninger til OTP ‘ er, men de er langsomme og ikke særlig brugervenlige. Brugeren skal opretholde en liste over adgangskode, der ofte skal bruges i rækkefølge, plus hvis din liste over adgangskoder kopieres eller falder i de forkerte hænder, dem nogen har alle dine adgangskoder.
engangsadgangskode via Push-meddelelse
engangsadgangskoder via Push ligner SMS-baserede engangsadgangskoder, men denne gang sendes den automatisk genererede adgangskode som en push-meddelelse til en App på brugerens enhed. Når push-meddelelsen er sendt til appen, kopierer brugeren derefter koden til loginskærmen for at bekræfte deres identitet. Push notification er den mest omkostningseffektive løsning, da den bruger en eksisterende enhed (f.eks.
det er også en af de mest sikre løsninger, plus dens brugervenlige. Med moderne mobiltelefoner kan du endda inkludere en tredje godkendelsesfaktor, såsom en biometrisk scanning (f.eks. Ulemperne er også temmelig minimale-push-meddelelser kræver en dedikeret app, og applikationsadgang er underlagt tab af mobiltelefon.
Hybrid engangsadgangskode (det bedste fra begge verdener)
du kan kombinere styrkerne ved SMS og push-beskeder og bruge et hybridsystem. Adgangskoden sendes oprindeligt med push-meddelelse, som er hurtig og omkostningseffektiv, men hvis din bruger ikke har din app installeret eller er offline, kan adgangskoden sendes via SMS. Du kan også tilføje en tredje tilbagefaldsmulighed for at få adgangskoden leveret via stemme, hvis push og SMS af en eller anden grund mislykkedes.
din standardadgangskodeleveringsmetode kan være det, der er mest effektivt til at holde dine omkostninger nede, men ved at bruge en hybridløsning sikrer du, at brugerne altid kan få adgang til din app, hvilket igen fremmer bedre appengagement.
en OTP kan give stor sikkerhed og stærk godkendelse.
konklusion
den gennemsnitlige forretningsbruger har 191 adgangskoder og skriver i gennemsnit 8 forskellige adgangskoder pr. Oftere end ikke resulterer dette i, at dine slutbrugere enten bruger de samme adgangskoder til flere konti, skriver deres adgangskoder ned på post-it-noter eller bombarderer din IT – helpdesk med anmodninger om nulstilling af adgangskode-i gennemsnit udgør anmodninger om nulstilling af adgangskode 10% -30% af alle IT-helpdesk-opkald.
tofaktorautentificering er især vigtig, når det gælder beskyttelse af virksomhedsdata mod cyberkriminalitet og svig. Den vigtigste fordel, som OTP ‘ er adresserer, er, at de i modsætning til statiske adgangskoder ikke er sårbare over for replay-angreb.
tofaktorautentificering (i form af engangsadgangskoder) hærder et traditionelt bruger-ID og statisk adgangskodesystem ved at tilføje en anden, dynamisk legitimationsoplysninger. Selvom dine brugere bruger den samme (eller lignende) adgangskode til hvert system, bliver dit system mindre sårbart, da det er usandsynligt, at begge lag af sikkerhed vil blive kompromitteret af en hacker.
der er også en tredje tilgængelig faktor, f. eks. fingeraftryk, nethindescanning, voiceprint, ansigtsgenkendelse osv., der kan bruges til at tilføje endnu et lag af sikkerhed. Det står til grund, at jo flere faktorer, der kræves for at godkende, jo mere sikre bliver dine systemer.
Klik her for vores guide til stærk Kundeautentificering (SCA), et krav til onlinebetalinger inden udgangen af 2020.
på ulempen er stærke engangsadgangskoder vanskelige for mennesker at huske, derfor kræver de yderligere teknologi for at arbejde. For OTP-systemer, der er afhængige af låsestrins-eller modsynkronisering, skal adgangskodegeneratorer klare den situation, hvor et elektronisk token driver ud af synkronisering med sin server, hvilket fører til yderligere udviklingsomkostninger. Tidssynkroniserede systemer undgår på den anden side dette på bekostning af at skulle opretholde et ur i de elektroniske tokens (og en forskydningsværdi for at tage højde for urdrift).
de billigste (og bedste) løsninger er dem, der leverer OTP ‘ er uden omkostningerne forbundet med proprietært udstyr. Enkle metoder såsom manuelt genererede lister eller talgitter tilbyder billige løsninger, men de er langsomme og vanskelige at vedligeholde. Brugere skal bære en liste over adgangskoder rundt og holde styr på, hvor de er på listen.
plus, hvis listen falder i de forkerte hænder, har nogen alle dine adgangskoder. De bedste løsninger bruger derfor en eksisterende enhed (f.eks. mobiltelefon) og leverer engangsadgangskoder uden omkostningerne forbundet med SMS-beskeder (dvs. push-meddelelse).
Klik her for at læse vores tanker om adgangskodedeling (vi ved, at du også er skyldig i dette!)
for at holde dine virksomhedsdata sikre skal du vide, hvordan du genererer sikre engangsadgangskoder til stærk tofaktor-eller multifaktorautentificering. Du skal også vide, hvordan du distribuerer engangsadgangskoder til klienter eller medarbejdere, så det system, du har oprettet, ikke er sårbart over for angreb. Tal med en sikkerhedsekspert som 10Duke for at finde ud af, hvordan du implementerer sikker To-faktor-eller multifaktorautentificering, for at holde dine medarbejdere og dine applikationer sikre.