Az egyszeri jelszó vagy az OTP olyan jelszó, amely csak egyszer érvényes. Az OTP-k felhasználhatók a biztonság fokozására és az erős hitelesítés támogatására. Ez a cikk ismerteti az OTP-K alapjait és azok megvalósításának módját.
manapság a legtöbb vállalati hálózat csak felhasználónevet és statikus jelszót igényel a személyes és érzékeny adatok eléréséhez. Ez a fajta egytényezős hitelesítés nagyon kényelmes, azonban modern világunkban nem túl biztonságos. A legtöbb ember megérti, hogy minden online fiókhoz egyedi jelszavakat kell használnia. Mégis, 69% – uk egyébként ugyanazt a jelszót használja.
ezenkívül az emberek 47% – A használ 5 évesnél idősebb jelszót, és a leggyakrabban használt jelszó a ‘123456’ – az emberek megdöbbentő 17% – a használja. Ami még rosszabb, szemet gyönyörködtető 95 Az emberek százaléka akár 6 jelszavakat oszt meg barátaival.
még akkor is, ha a végfelhasználók jók a jelszavakkal (minden online fiókhoz más erős jelszót használnak, és soha nem írják le őket sehol), akkor is veszélybe kerülhetnek a keylogging malware vagy a man-in-the-middle támadások. Tehát hogyan védheti meg magát és cége legértékesebb eszközeit a rossz jelszóhigiénia vagy az elektronikus lehallgatás ellen? Ennek egyik módja az ‘egyszeri jelszó’ használata-egy eldobható jelszó, amely csak egyszer érvényes.
mi az egyszeri jelszó?
Az egyszeri jelszavak olyan jelszavak, amelyek csak egy bejelentkezési munkamenetre vagy tranzakcióra érvényesek, ezért védelmet nyújtanak a különböző jelszóalapú támadások, különösen a jelszószippantás és a visszajátszási támadások ellen. Az OTP általában számok vagy karakterek sorozata, amelyek automatikusan generálódnak.
ahhoz, hogy ez a rendszer működjön, a jelszónak minden alkalommal meg kell változnia, de szükség van valamiféle szinkronizálásra is a folyamatosan változó jelszó, a használt számítógépes rendszer vagy alkalmazás és a végfelhasználó között. Ennek a szinkronizálásnak anélkül is meg kell történnie, hogy adatokat továbbítana nem biztonságos módszerekkel, például e-mailben.
hogyan szinkronizálódnak az egyszeri jelszavak?
Az egyszeri jelszavak többféle módon generálhatók, és mindegyiknek kompromisszumai vannak a biztonság, a kényelem és a költség szempontjából.
időszinkronizálás
az egyszeri jelszavak létrehozásának egyik módja az időszinkronizálás használata. Minden felhasználónak van egy személyes tokenje (amely úgy néz ki, mint egy kis számológép vagy kulcstartó), amelynek kijelzője egy időnként változó számot mutat. A személyes token belsejében van egy óra, amelyet szinkronizáltak a saját hitelesítési szerver órájával. Az eszköz és az alkalmazáskiszolgáló egyaránt új OTP-ket generál az aktuális idő numerikus változata alapján.
az időben szinkronizált jelszavaknak nem kell mindig tökéletesen illeszkedniük, és általában van egy ablak, ahol régebbi vagy újabb jelszavakat fogadnak el. Ez egyszerűen azért történik, mert az embereknek egy kis időbe telik az OTP elolvasása és beírása, így például szokatlan lenne, ha egy jelszó másodpercenként megváltozna, mivel a végfelhasználónak nem lenne elég ideje megadni a jelszót, mielőtt érvénytelenné válik.
maga a jelszó általában az aktuális idő kivonata – például a 16.43-ból 1643 lesz, amelyet ezután egy kódgenerátoron és egy hash függvénynek (vagy hash kódnak) nevezett matematikai folyamaton keresztül futtatnak egy egyedi 10 jegyű kód létrehozására, amely az egyszeri jelszó.
az idő tehát fontos része a jelszó algoritmusnak, mivel az új jelszavak generálása az ‘aktuális idő’alapján történik. Ha az órák túl messzire mennek, a token nem generál helyes jelszavakat, ezért vissza kell állítani. A különböző időzónák problémájának elkerülése érdekében egy Unix időbélyeg használható, amely koordinált világidő.
Lock-step
a második módszer magában foglalja a számítógépes rendszert és a tokent, amely ugyanazzal a megosztott számmal kezdődik (magnak hívják). Minden új jelszó létrehozásakor a token eszköz növeli a saját belső számlálóját, és minden alkalommal, amikor ténylegesen bejelentkezik, a szerver is növeli a számlálót.
lehetséges, hogy ki a lépés generálásával jelszavakat, amelyek nem használják, így a számláló a token előre több, mint a számláló az alkalmazáskiszolgálón. A toleranciát azonban általában úgy hozzák létre, hogy a dolgok egy kicsit szinkronban legyenek, és a szerver (általában) automatikusan újra szinkronizálódik, ha lépésből áll.
ezt az OTP technikát lock-step vagy counter synchronization-nek hívják, és bár még mindig szükség van saját hardverre, nem szenved attól a hátránytól, hogy időben kell tartani az órákat.
átviteli alapú OTP
a harmadik megközelítés teljesen más. Ahelyett, hogy két eszköz önállóan felelős a saját jelszavakért (amelyeket aztán összehasonlítanak az érvényesség szempontjából), a jelszavakat véletlenszerűen generálja a hitelesítési szerver. Mivel ez a jelszó teljesen véletlenszerű, nem lehetséges, hogy egy token eszköz automatikusan lépést tartson, ezért az OTP-t aktívan közölni kell a végfelhasználóval.
az ilyen típusú eldobható jelszavakat gyakran “SMS-OTP” – nek nevezik, mivel leggyakrabban szöveges üzenetben küldik őket, de létrehozhatók egy alkalmazás vagy kézi elektronikus eszköz (úgynevezett biztonsági token), vagy egyes esetekben akár kinyomtathatók és postai úton is elküldhetők. Ha hitelesíteni szeretné, a rendszer elküldi Önnek a jelszavát, Ön pedig ezt a jelszót használja a bejelentkezéshez. Ennek a módszernek az egyik hatalmas előnye, hogy kiküszöböli a saját hardverek biztosításának és karbantartásának szükségességét.
hogyan továbbítják az egyszeri jelszavakat?
Az egyszeri jelszavak többféle módon közölhetők a végfelhasználókkal, és mindegyik kompromisszumokkal jár a biztonság, a kényelem és a költség szempontjából.
egyszeri jelszó SMS-ben
ez a módszer megbízható, magas színvonalú SMS-szolgáltatást igényel. Amint a felhasználó kitölti a helyes felhasználónevet és jelszót a bejelentkezés során, egy SMS-t indít egy OTP-vel,amelyet a felhasználó fiókjában regisztrált mobilszámra küld. Ezután a felhasználó befejezi a hitelesítési folyamatot az SMS üzenetben megjelenített kód beírásával az alkalmazás bejelentkezési képernyőjére. A végfelhasználóknak általában egy bizonyos időtartamot engedélyeznek a jelszó lejárta előtt.
egyszeri jelszó hangon keresztül
az SMS alternatívája a hang, amely egy meglévő vezetékes vagy mobiltelefon segítségével szóbeli jelszót fogad telefonhívásként a felhasználó vezetékes vagy mobilszámán. Ennek a módszernek az az előnye, hogy a jelszavakat nem tárolják a felhasználó telefonján, ráadásul lehetővé teszi a korlátozott látású felhasználók elérését. Ennek a megoldásnak azonban használatonkénti költsége van, és működéséhez már létrehozott vezetékes vagy mobilszámra van szükség.
a jelszavak rövid karakterláncokra is korlátozódnak, különben a jelszó átvitele a hívásról a bejelentkezési képernyőre nehézzé válik a felhasználó számára, vagy többszöri próbálkozást igényel az egyezéshez.
egyszeri jelszó e-mailben
ha egy e-mail fiók regisztrálva van egy felhasználói fiók mellett, akkor a bejelentkezés során egyszeri jelszavakat lehet elküldeni egy e-mail címre hitelesítés céljából. Az e-mail kézbesítés egyszeri jelszavak esetén költséghatékony megoldás, azonban a biztonság és a használhatóság feláldozható. Az e-mailt nem úgy tervezték, hogy digitális életünk középpontja legyen, mint most, tehát nem a biztonságot vagy a magánéletet szem előtt tartva tervezték.
az összes kibertámadás 91%-a e-mailben kezdődik, és ez a legkevésbé biztonságos módszer a kétfaktoros hitelesítéshez. Ez attól is függ, hogy a felhasználók következetesen hozzáférnek-e egy e-mail fiókhoz. A felhasználók jelszó-visszaállítási kérelmeket és időkorlátokat is kaphatnak, amikor megpróbálnak hozzáférni e-mail fiókjukhoz annak érdekében, hogy hozzáférjenek az OTP-hez.
egyszeri jelszó postán keresztül
a mail-alapú rendszer lényegében ugyanúgy működik, mint más üzenetküldő rendszerek, de a jelszó tovább tart, hogy közölje a végfelhasználóval. A jelszó érvényessége ezért meghosszabbodik, hogy lehetővé tegye a tranzit késését. Egyes bankok hosszú, nyomtatott listákat küldenek az egyszeri jelszavakról (úgynevezett tranzakciós hitelesítési számok vagy TANs) a szervezeteknek, hogy felhasználhassák őket az üzleti banki tevékenységekben. A bank rendelkezik a számítógépes rendszerében tárolt jelszavak megfelelő listájával, és a jelszavakat egymás után kell használni az egyezés biztosítása érdekében.
a listák és számrácsok költséghatékony megoldásokat kínálnak az OTP-K számára, de lassúak és nem túl felhasználóbarátak. A felhasználónak fenn kell tartania a jelszó listáját, amelyet gyakran egymás után kell használni, plusz ha a jelszavak listáját átmásolja vagy rossz kezekbe kerül, nekik valakinek megvan az összes jelszava.
egyszeri jelszó Push értesítéssel
Az egyszeri jelszavak Push segítségével hasonlóak az SMS alapú egyszeri jelszavakhoz, azonban ezúttal az automatikusan generált jelszót push értesítésként küldi el a Felhasználó eszközén lévő alkalmazásnak. Miután a push értesítést elküldték az alkalmazásnak, a felhasználó ezután másolja a kódot a bejelentkezési képernyőre, hogy ellenőrizze személyazonosságát. A Push notification a legköltséghatékonyabb megoldás, mivel egy meglévő eszközt (pl. a felhasználók mobileszközét) használ, és nem terheli az SMS-üzenetek költségeit.
ez is az egyik legbiztonságosabb megoldás, valamint a felhasználóbarát. A modern mobiltelefonokkal akár egy harmadik hitelesítési tényezőt is felvehet, például biometrikus vizsgálatot (például ujjlenyomat-vizsgálatot) az igazán szigorú biztonság érdekében. A hátrányok is elég minimálisak – a push értesítések dedikált alkalmazást igényelnek, az alkalmazásokhoz való hozzáférés pedig mobiltelefon-veszteségnek van kitéve.
hibrid egyszeri jelszó (mindkét világ legjobbja)
kombinálhatja az SMS és a push üzenetküldés erősségeit, és hibrid rendszert használhat. A jelszót először push értesítéssel küldi el, amely gyors és költséghatékony, de ha a felhasználó nem telepítette az alkalmazást, vagy offline állapotban van, a jelszót SMS-ben is el lehet küldeni. Felvehet egy harmadik tartalék opciót is, ha a jelszót hanggal továbbítja, ha a push és az SMS valamilyen okból nem sikerült.
az alapértelmezett jelszó kézbesítési módszer lehet bármi, ami a leghatékonyabb a költségek csökkentésében, de egy hibrid megoldás használatával biztosítja, hogy a felhasználók mindig hozzáférhessenek az alkalmazáshoz, ami viszont elősegíti az alkalmazás jobb elkötelezettségét.
az OTP nagy biztonságot és erős hitelesítést biztosít.
következtetés
az átlagos üzleti felhasználónak 191 jelszava van, és naponta átlagosan 8 különböző jelszót ír be. Gyakrabban, mint nem, ez azt eredményezi, hogy a végfelhasználók ugyanazokat a jelszavakat használják több fiókhoz, jelszavaikat írják le a post-it jegyzetekre, vagy bombázzák az informatikai ügyfélszolgálatot jelszó – visszaállítási kérésekkel-átlagosan a jelszó-visszaállítási kérelmek az összes IT helpdesk hívás 10-30% – át teszik ki.
a kétfaktoros hitelesítés különösen fontos a vállalati adatok számítógépes bűnözéssel és csalással szembeni védelme szempontjából. Az OTP-K legfontosabb előnye, hogy a statikus jelszavakkal ellentétben nem érzékenyek a visszajátszási támadásokra.
kétfaktoros hitelesítés (egyszeri jelszavak formájában), megszilárdítja a hagyományos felhasználói azonosítót és a statikus jelszórendszert egy másik, dinamikus hitelesítő adat hozzáadásával. Még akkor is, ha a felhasználók ugyanazt (vagy hasonló) jelszót használják minden rendszerhez, a rendszer kevésbé sérülékeny, mivel nem valószínű, hogy a hackerek mindkét biztonsági réteget veszélyeztetnék.
van egy harmadik rendelkezésre álló tényező is, pl. ujjlenyomatok, retina szkennelés, hangnyomtatás, arcfelismerés stb., amelyek felhasználhatók egy újabb biztonsági réteg hozzáadására. Magától értetődik, hogy minél több tényező szükséges a hitelesítéshez, annál biztonságosabb lesz a rendszere.
kattintson ide az erős ügyfél-hitelesítésről (SCA) szóló útmutatónkhoz, amely az online fizetések követelménye 2020 végéig.
a hátránya, hogy az erős egyszeri jelszavakat az emberek nehezen tudják megjegyezni, ezért további technológiát igényelnek a működéshez. A lock-step vagy counter szinkronizációra támaszkodó OTP rendszerek esetében a jelszógenerátoroknak meg kell birkózniuk azzal a helyzettel, amikor egy elektronikus token szinkronban sodródik a szerverével, ami további fejlesztési költségekhez vezet. Az időszinkronizált rendszerek ezzel szemben elkerülik ezt annak rovására, hogy az elektronikus tokenekben órát kell fenntartani (és eltolási értéket kell figyelembe venni az óra eltolódását).
a legolcsóbb (és legjobb) megoldások azok, amelyek OTP-ket szállítanak a saját hardverhez kapcsolódó költségek nélkül. Az olyan egyszerű módszerek, mint a manuálisan generált listák vagy a számrácsok, alacsony költségű megoldásokat kínálnak, de lassúak és nehezen karbantarthatók. A felhasználóknak meg kell hordozniuk a jelszavak listáját, és nyomon kell követniük, hogy hol vannak a listában.
plusz, ha a lista rossz kezekbe kerül, akkor valakinek megvan az összes jelszava. A legjobb megoldás tehát egy meglévő eszköz (pl. mobiltelefon) használata, és egyszeri jelszavak kézbesítése az SMS-üzenetekkel (pl. push értesítés) kapcsolatos költségek nélkül.
kattintson ide, hogy elolvassa a jelszavak megosztásával kapcsolatos gondolatainkat (tudjuk, hogy ebben is bűnös vagy!)
a vállalati adatok biztonságának megőrzése érdekében tudnia kell, hogyan hozhat létre biztonságos egyszeri jelszavakat az erős kéttényezős vagy többtényezős hitelesítéshez. Azt is tudnia kell, hogyan oszthatja meg az egyszeri jelszavakat az ügyfeleknek vagy az alkalmazottaknak, hogy a létrehozott rendszer ne legyen sebezhető a támadásokkal szemben. Beszéljen egy olyan biztonsági szakértővel, mint a 10Duke, hogy megtudja, hogyan valósíthatja meg a biztonságos két-vagy többtényezős hitelesítést, hogy alkalmazottai és alkalmazásai biztonságban legyenek.