One-time password tai OTP on salasana, joka on voimassa vain yhden kerran. OTPs: ää voidaan käyttää turvallisuuden parantamiseen ja vahvan tunnistautumisen tukemiseen. Tässä artikkelissa selitetään OTPs: n perusteet ja miten ne voidaan toteuttaa.
nykyään useimmat yritysverkot tarvitsevat vain käyttäjänimen ja staattisen salasanan päästäkseen käsiksi henkilökohtaisiin ja arkaluonteisiin tietoihin. Tämäntyyppinen yhden tekijän todennus on erittäin kätevä, mutta se ei ole kovin turvallinen nykymaailmassa. Useimmat ihmiset ymmärtävät, että heidän pitäisi käyttää ainutlaatuisia salasanoja jokaiselle online-tilille. Silti 69 prosenttia meistä käyttää samaa salasanaa muutenkin.
lisäksi 47% ihmisistä käyttää yli 5 vuotta vanhaa salasanaa ja yleisimmin käytetty salasana on ”123456” – jota käyttää huimat 17% ihmisistä. Mikä vielä pahempaa, silmiä hivelevä 95 prosenttia ihmisistä jakaa jopa 6 salasanaa kavereilleen.
vaikka loppukäyttäjäsi olisivat hyviä salasanojen kanssa (he käyttävät eri vahvaa salasanaa jokaiselle online-tilille eivätkä koskaan kirjoita niitä mihinkään) he voivat silti vaarantua keylogging-haittaohjelmien tai man-in-the-middle-hyökkäysten avulla. Miten siis suojaudut ja yrityksesi arvokkainta omaisuutta huonolta salasanahygienialta tai sähköiseltä salakuuntelulta? Yksi tapa on käyttää ”kertaluonteista salasanaa” -kertakäyttöistä salasanaa, joka on voimassa vain ”kerran”.
mikä on kertaluonteinen salasana?
kertaluonteiset salasanat ovat salasanoja, jotka ovat voimassa vain yhden kirjautumisistunnon tai-tapahtuman aikana, joten ne tarjoavat suojan erilaisia salasanapohjaisia hyökkäyksiä, erityisesti salasanojen haistelua ja replay-hyökkäyksiä vastaan. Tyypillisesti OTP on sarja numeroita tai merkkejä, jotka syntyvät automaattisesti.
jotta tämä järjestelmä toimisi, salasanan on vaihduttava joka kerta, kun sitä käytetään, mutta myös alati muuttuvan salasanan, käytettävän tietokonejärjestelmän tai sovelluksen ja loppukäyttäjän välillä on oltava jonkinlainen synkronointi. Tämä synkronointi on myös toteutettava ilman tietojen lähettämistä epävarmojen menetelmien, kuten sähköpostin, kautta.
miten kertaluonteiset salasanat synkronoidaan?
kertaluonteisia salasanoja voidaan luoda useilla tavoilla, ja jokaisella niistä on kompromisseja turvallisuuden, mukavuuden ja kustannusten suhteen.
aikasynkronointi
yksi tapa luoda kertaluonteisia salasanoja on käyttää aikasynkronointia. Jokaisella käyttäjällä on henkilökohtainen token (joka saattaa näyttää pieneltä laskimelta tai avaimenperältä), jossa on näyttö, joka näyttää numeron, joka muuttuu satunnaisesti. Henkilökohtaisen tunnuksen sisällä on kello, joka on synkronoitu omisteisen todennuspalvelimen kellon kanssa. Laite ja sovelluspalvelin luovat molemmat uuden OTP: n, joka perustuu kulloisenkin ajan numeeriseen versioon.
Aikasynkronoitujen salasanojen ei aina tarvitse olla täydellisiä ja tyypillisesti on ikkuna, jossa vanhemmat tai uudemmat salasanat hyväksytään. Tämä tehdään yksinkertaisesti siksi, että OTP: n lukemiseen ja syöttämiseen menee ihmisillä hieman aikaa, joten esimerkiksi salasanan vaihtaminen joka sekunti olisi epätavallista, koska loppukäyttäjällä ei olisi tarpeeksi aikaa salasanan syöttämiseen ennen kuin se tulee pätemättömäksi.
itse salasana on yleensä nykyisen ajan hash-koodi – esimerkiksi 16.43 tulee 1643, joka sitten ajetaan koodigeneraattorin ja hash-funktioksi (tai hash-koodiksi) kutsutun matemaattisen prosessin kautta, joka tuottaa yksilöllisen 10-numeroisen koodin, joka on kertaluonteinen salasana.
aika on siis tärkeä osa salasana-algoritmia, sillä uusien salasanojen generointi perustuu ”nykyiseen aikaan”. Jos kellot saavat liian kaukana askel, token ei luo oikeita salasanoja ja on nollattava. Eri aikavyöhykkeiden ongelman välttämiseksi voidaan käyttää Unix-aikaleimaa, joka on koordinoitu yleisaika.
Lock-step
toisessa menetelmässä tietokonejärjestelmä ja token alkavat samalla jaetulla numerolla (jota kutsutaan siemeneksi). Joka kerta kun uusi salasana luodaan token-laite kasvattaa omaa sisäistä laskuriaan, ja joka kerta kun kirjaudut sisään, palvelin myös lisää sen laskuria.
askeleesta on mahdollista päästä luomalla käyttämättömiä salasanoja, jolloin tokenissa oleva laskuri etenee enemmän kuin sovelluspalvelimen laskuri. Kuitenkin, toleranssi on yleensä luotu niin, että asiat voivat olla hieman epätahdissa, ja palvelin (yleensä) automaattisesti uudelleen synkronoida, jos se tulee ulos askel.
tätä OTP-tekniikkaa kutsutaan lock-step-tai counter-synkronoinniksi, ja vaikka omaa laitteistoa edelleen tarvitaan, se ei kärsi siitä haitasta, että kellojen pitää pysyä ajassa.
Siirtoperusteinen OTP
kolmas lähestymistapa on täysin erilainen. Sen sijaan, että kaksi laitetta olisi itsenäisesti vastuussa omista salasanoistaan (joita sitten verrataan voimassaoloon), salasanat luodaan satunnaisesti todennuspalvelimella. Koska tämä salasana on täysin satunnainen, ei ole mahdollista, että token-laite pysyy automaattisesti askeleessa, joten OTP on aktiivisesti ilmoitettava loppukäyttäjälle.
tämäntyyppisistä kertakäyttöisistä salasanoista käytetään usein nimitystä ”SMS-OTP”, koska ne lähetetään yleisimmin tekstiviestillä, mutta ne voidaan luoda myös sovelluksen tai kädessä pidettävän elektronisen laitteen avulla (ns.tietoturvapoletti) tai joissakin tapauksissa ne voidaan jopa tulostaa ja lähettää postitse. Kun haluat todentaa, järjestelmä lähettää salasanasi sinulle ja käytät salasanaa kirjautuaksesi sisään. Yksi tämän menetelmän valtavista eduista on se, että se poistaa tarpeen tarjota ja ylläpitää omaa laitteistoa.
miten kertasanat välitetään?
One-time password can be communicated to end-users in several ways and each one has trade-offs in term of security, convenience, and cost.
kertaluonteinen salasana tekstiviestillä
tämä menetelmä vaatii luotettavan ja laadukkaan tekstiviestipalvelun. Kun käyttäjä on kirjautumisen aikana saanut oikean käyttäjätunnuksen ja salasanan valmiiksi, käynnistyy OTP: llä varustettu tekstiviesti, joka lähetetään käyttäjän tilille rekisteröityyn matkapuhelinnumeroon. Tämän jälkeen käyttäjä täydentää todennusprosessin syöttämällä tekstiviestissä näkyvän koodin sovelluksen kirjautumisnäyttöön. Loppukäyttäjille sallitaan yleensä tietty ajanjakso ennen salasanan vanhentumista.
kertaluonteinen salasana puheyhteyden kautta
vaihtoehto tekstiviestille on ääni, joka käyttää olemassa olevaa lankapuhelinta tai matkapuhelinta vastaanottamaan puhutun salasanan puheluna käyttäjän lankapuhelimeen tai matkapuhelinnumeroon. Tämän menetelmän etuja ovat, että salasanoja ei tallenneta käyttäjän puhelimeen, ja sen avulla voit tavoittaa käyttäjät, joilla on rajoitettu näkö. Tähän ratkaisuun liittyy kuitenkin käyttökustannus, ja se vaatii jo vakiintuneen lankapuhelimen tai matkapuhelinnumeron toimiakseen.
salasanat rajoittuvat myös lyhyisiin merkistöihin, muuten salasanan siirtäminen puhelusta sisäänkirjautumisnäytölle käy käyttäjälle vaikeaksi tai vaatii useita yrityksiä saada täsmäys.
Kertasalasana sähköpostilla
jos käyttäjätilin rinnalle on rekisteröity sähköpostitili, kertasalasanat voi lähettää sähköpostiosoitteeseen tunnistautumista varten kirjautumisen aikana. Sähköpostin toimitus kerralla salasanat on kustannustehokas vaihtoehto, mutta tietoturva ja käytettävyys voidaan uhrata. Sähköpostin ei ollut tarkoitus olla digitaalisen elämämme keskipiste sillä tavalla kuin se on nyt, joten sitä ei ole suunniteltu tietoturvaa tai yksityisyyttä ajatellen.
91% kaikista kyberhyökkäyksistä alkaa sähköpostilla, ja se on vähiten turvallinen menetelmä kaksivaiheiseen tunnistautumiseen. Se on myös riippuvainen käyttäjistä, joilla on johdonmukainen pääsy sähköpostitiliin. Käyttäjät voivat myös aiheuttaa salasanojen palautuspyyntöjä ja aikalisiä, kun he yrittävät käyttää sähköpostitiliään päästäkseen OTP: hen.
kertakäyttöinen salasana postin kautta
sähköpostipohjainen järjestelmä toimii pääosin samalla tavalla kuin muut viestijärjestelmät, mutta salasanan välittäminen loppukäyttäjälle kestää kauemmin. Salasanan voimassaoloaikaa pidennetään siten, että passitus viivästyy. Jotkut pankit lähettävät organisaatioille pitkiä painettuja listoja kertaluonteisista salasanoista (transaction authentication numbers tai TANs), joita ne voivat käyttää yrityspankkitoiminnassa. Pankin tietokonejärjestelmään on tallennettu vastaava salasanaluettelo, ja salasanoja on käytettävä järjestyksessä, jotta ne täsmäävät.
listat ja numeroruudukot tarjoavat kustannustehokkaita ratkaisuja OTP: hen, mutta ne ovat hitaita eivätkä kovin käyttäjäystävällisiä. Käyttäjä on ylläpitää luetteloa salasanoja, jotka usein on käytettävä järjestyksessä, plus Jos luettelo salasanoja on kopioitu tai joutuu vääriin käsiin, ne joku on kaikki salasanat.
kertaluonteinen salasana Push-ilmoituksella
kertaluonteiset salasanat Push-ilmoituksella ovat samanlaisia kuin TEKSTIVIESTIPOHJAISET kertaluonteiset salasanat, mutta tällä kertaa automaattisesti luotu salasana lähetetään push-ilmoituksena käyttäjän laitteessa olevaan sovellukseen. Kun push-ilmoitus on lähetetty sovellukseen, käyttäjä kopioi koodin sisäänkirjautumisnäytölle varmistaakseen henkilöllisyytensä. Push-ilmoitus on kustannustehokkain ratkaisu, koska se käyttää olemassa olevaa laitetta (esim.käyttäjän mobiililaitetta) eikä aiheuta tekstiviestien kustannuksia.
se on myös yksi turvallisimmista ratkaisuista, sekä käyttäjäystävällinen. Nykyaikaisissa matkapuhelimissa voit jopa sisällyttää kolmannen todennuskertoimen, kuten biometrisen skannauksen (esim.sormenjälkitarkistuksen) todella tiukan tietoturvan varmistamiseksi. Haittapuolet ovat myös melko vähäisiä-push-ilmoitukset vaativat oman sovelluksen ja sovelluksen käyttö edellyttää kännykän katoamista.
Hybrid one-time password (molempien maailmojen parhaat puolet)
voit yhdistää SMS-ja push-viestien vahvuudet ja käyttää hybridijärjestelmää. Salasana lähetetään aluksi push-ilmoituksella, joka on nopea ja kustannustehokas, mutta jos käyttäjällä ei ole sovellusta asennettuna tai se on offline-tilassa, salasana voidaan lähettää tekstiviestillä. Voit myös lisätä kolmannen varamahdollisuuden, jossa salasana toimitetaan äänen kautta, jos push ja SMS ovat jostain syystä epäonnistuneet.
oletussalasanan toimitustapa voi olla mikä tahansa, mikä on tehokkain tapa pitää kustannukset alhaisina, mutta käyttämällä hybridiratkaisua varmistat, että käyttäjät voivat aina käyttää sovellustasi, mikä puolestaan edistää parempaa sovellusten sitoutumista.
OTP voi tarjota hyvän tietoturvan ja vahvan tunnistautumisen.
johtopäätös
keskimääräisellä yrityskäyttäjällä on 191 salasanaa ja tyypeillä keskimäärin 8 erilaista salasanaa päivässä. Useimmiten tämä johtaa siihen, että käyttäjät käyttävät samoja salasanoja useille tileille, kirjoittavat salasanansa post-it-muistiinpanoihin tai pommittavat IT – helpdeskiä salasanojen palautuspyynnöillä-keskimäärin salasanojen palautuspyynnöt muodostavat 10% -30% kaikista IT-helpdesk-puheluista.
kaksivaiheinen todentaminen on erityisen tärkeää, kun on kyse yritystietojen suojaamisesta tietoverkkorikollisuudelta ja petoksilta. OTPs: n tärkein etu on se, että staattisista salasanoista poiketen ne eivät ole alttiita uusintahyökkäyksille.
kaksivaiheinen todennus (kertaluonteisina salasanoina) kovettaa perinteisen käyttäjätunnuksen ja staattisen salasanajärjestelmän lisäämällä toisen, dynaamisen tunnuksen. Vaikka käyttäjät käyttävät samaa (tai vastaavaa) salasanaa jokaisessa järjestelmässä, järjestelmä on tehty vähemmän haavoittuvia, koska on epätodennäköistä, että molemmat kerrokset turvallisuuden vaarantuisi hakkeri.
on myös kolmas käytettävissä oleva tekijä, esim. sormenjäljet, verkkokalvon skannaus, voiceprint, kasvojentunnistus, jne., joita voidaan käyttää lisäämään toinen kerros turvallisuutta. On selvää, että mitä enemmän tekijöitä tarvitaan todentamiseen, sitä turvallisempia järjestelmäsi ovat.
Klikkaa tästä oppaamme Strong Customer Authentication (SCA), vaatimus verkkomaksamisesta vuoden 2020 loppuun mennessä.
varjopuolena on, että vahvoja kertasanoja on ihmisen vaikea muistaa ulkoa, joten ne vaativat lisätekniikkaa toimiakseen. Lukkoaskel – tai vastasynkronointiin perustuvissa OTP-järjestelmissä salasanageneraattoreiden on selviydyttävä tilanteesta, jossa elektroninen poletti ajautuu pois synkronoinnista palvelimensa kanssa, mikä aiheuttaa lisäkustannuksia kehittämiselle. Aikasynkroniset järjestelmät sen sijaan välttävät tämän sillä kustannuksella, että kello joudutaan pitämään elektronisissa tokeneissa (ja että kellojen siirtelyarvo otetaan huomioon).
halvimmat (ja parhaat) ratkaisut ovat ne, jotka toimittavat OTP: t ilman omia laitteita koskevia kustannuksia. Yksinkertaiset menetelmät, kuten käsin luodut listat tai numeroruudukot, tarjoavat edullisia ratkaisuja, mutta ne ovat hitaita ja vaikeasti ylläpidettäviä. Käyttäjiltä edellytetään, että heillä on mukanaan lista salasanoista ja että he pitävät kirjaa siitä, missä he ovat luettelossa.
Plus, jos lista joutuu vääriin käsiin, niin jollain on kaikki salasanasi. Parhaissa ratkaisuissa käytetään siis olemassa olevaa laitetta (esim.matkapuhelinta) ja toimitetaan kertaluonteisia salasanoja ilman tekstiviesteihin liittyviä kustannuksia (ts. push-ilmoitus).
Klikkaa tästä lukeaksesi ajatuksemme salasanojen jakamisesta(tiedämme, että olet syyllinen tähänkin!)
pitääksesi yritystietosi turvassa, sinun on osattava luoda Turvalliset kertaluonteiset salasanat vahvaan kaksiosaiseen tai moniosaiseen tunnistautumiseen. Sinun on myös osattava jakaa kertaluonteisia salasanoja asiakkaille tai työntekijöille, jotta luomasi järjestelmä ei ole altis hyökkäyksille. Puhu tietoturva-asiantuntija kuten 10Duke selvittää, miten toteuttaa turvallinen kahden tekijän tai monen tekijän todennus, pitää työntekijät ja sovellukset turvassa.