Engangspassord Eller EN OTP er et passord som bare er gyldig en gang. OTPs kan brukes til å forbedre sikkerheten og støtte sterk autentisering. Denne artikkelen vil forklare grunnleggende OTPs og hvordan de kan implementeres.
i Dag krever de fleste bedriftsnettverk bare brukernavn og statisk passord for å få tilgang til personlige og sensitive data. Denne typen enkeltfaktorautentisering er veldig praktisk, men det er ikke veldig sikkert i vår moderne verden. De fleste forstår at de bør bruke unike passord for hver online konto. Likevel bruker 69% av oss det samme passordet uansett.
videre bruker 47% av folk et passord som er mer enn 5 år gammelt, og det mest brukte passordet er ‘123456’ – brukt av en svimlende 17% av folk. Hva er enda verre, en øye-vanning 95 Prosent Av Folk Dele Opp Til 6 Passord med sine venner.
selv om sluttbrukerne dine er gode med passord (de bruker et annet sterkt passord for hver online konto og aldri skriver dem ned hvor som helst), kan de fortsatt bli kompromittert av keylogging malware eller man-in-the-middle angrep. Så hvordan beskytter du deg selv og bedriftens mest verdifulle eiendeler mot dårlig passordhygiene eller elektronisk avlytting? En måte er å bruke et engangspassord – et engangspassord som bare er gyldig en gang.
Hva er et engangspassord?
Engangspassord er passord som bare er gyldige for en påloggingsøkt eller transaksjon, og gir derfor beskyttelse mot ulike passordbaserte angrep, spesielt passordsniffing og replay-angrep. VANLIGVIS ER EN OTP en serie med tall eller tegn som genereres automatisk.
for at dette systemet skal fungere, må passordet endres hver gang det brukes, men det må også være en slags synkronisering mellom det stadig skiftende passordet, datasystemet eller applikasjonen som brukes, og sluttbrukeren. Denne synkroniseringen må også skje uten å overføre data via usikre metoder som e-post.
hvordan synkroniseres engangspassord?
Engangspassord kan genereres på flere måter, og hver har avveininger når det gjelder sikkerhet, bekvemmelighet og kostnad.
tidssynkronisering
en tilnærming til å generere engangspassord er å bruke tidssynkronisering. Hver bruker har et personlig token (som kan se ut som en liten kalkulator eller nøkkelring) med en skjerm som viser et nummer som endres av og til. Inne i det personlige token er en klokke som er synkronisert med klokken på proprietær autentiseringsserver. Enheten og applikasjonsserveren genererer begge nye OTPs basert på en numerisk versjon av gjeldende tid.
tidssynkroniserte passord trenger ikke alltid å være en perfekt match, og vanligvis er det et vindu der eldre eller nyere passord vil bli akseptert. Dette gjøres rett og slett fordi det tar mennesker litt tid å lese OG skrive INN OTP, så det vil for eksempel være uvanlig at et passord endres hvert sekund, da sluttbrukeren ikke vil ha nok tid til å skrive inn passordet før det blir ugyldig.
passordet i seg selv er vanligvis en hash av gjeldende tid – f.eks. blir 16.43 1643, som deretter kjøres gjennom en kodegenerator og en matematisk prosess kalt en hash-funksjon (eller hash-kode) for å generere en unik 10-sifret kode, som er engangspassordet.
Tid er derfor en viktig del av passordalgoritmen, siden genereringen av nye passord er basert på ‘nåværende tid’. Hvis klokkene kommer for langt ut av trinn, vil token ikke generere riktige passord og må nullstilles. For å unngå problemet med forskjellige tidssoner Kan Et Unix-tidsstempel brukes, som er en koordinert universell tid.
Lock-step
den andre metoden innebærer at datasystemet og token starter med samme delte nummer(kalt et frø). Hver gang et nytt passord genereres, øker token-enheten sin egen interne teller, og hver gang du faktisk logger inn, øker serveren også den telleren.
det er mulig å komme seg ut av trinn ved å generere passord som ikke brukes, noe som resulterer i at telleren i token fremmer mer enn telleren på applikasjonsserveren. Imidlertid er toleranse vanligvis opprettet slik at ting kan være litt ute av synkronisering, og serveren vil (vanligvis) automatisk synkronisere i tilfelle at den blir ute av trinn.
DENNE OTP teknikken kalles lock-step eller counter synkronisering, og selv om proprietær maskinvare fortsatt er nødvendig, lider den ikke av ulempen ved å måtte holde klokker i tide.
Overføringsbasert OTP
den tredje tilnærmingen er helt annerledes. I stedet for at to enheter er uavhengig ansvarlige for sine egne passord (som deretter sammenlignes for gyldighet), genereres passord tilfeldig av autentiseringsserveren. Siden dette passordet er helt tilfeldig, er det ikke mulig for en token-enhet å automatisk holde seg i trinn, DERFOR MÅ OTP kommuniseres aktivt til sluttbrukeren.
disse typer engangspassord blir ofte referert til som» SMS-OTP», da DE oftest sendes via tekstmelding, men de kan også genereres av en app eller håndholdt elektronisk enhet (kalt et sikkerhetstoken) eller i noen tilfeller kan de til og med skrives ut og sendes via post. Når du vil autentisere, sender systemet passordet ditt til deg, og du bruker passordet til å logge inn. En av de store fordelene med denne metoden er at det eliminerer behovet for å gi og vedlikeholde proprietær maskinvare.
hvordan overføres engangspassord?
Engangspassord kan kommuniseres til sluttbrukere på flere måter, og hver av dem har avveininger når det gjelder sikkerhet, bekvemmelighet og kostnad.
Engangspassord VIA SMS-melding
DENNE metoden krever en pålitelig SMS-tjeneste av HØY KVALITET. Når brukeren har fullført riktig brukernavn og passord under innlogging, utløses en tekstmelding MED EN OTP, som sendes til mobilnummeret som er registrert på brukerens konto. Brukeren fullfører deretter godkjenningsprosessen ved å skrive inn koden som vises I SMS-meldingen i påloggingsskjermen for programmet. Sluttbrukere er vanligvis tillatt en viss tidsperiode før passordet utløper.
Engangspassord Via Tale
et alternativ til SMS er Tale, som bruker en eksisterende fasttelefon eller mobiltelefon for å motta et muntlig passord som en telefonsamtale på brukerens fasttelefon eller mobilnummer. Fordelene med denne metoden er at passord ikke er lagret på brukerens telefon, pluss det lar deg nå brukere med begrenset syn. Det er imidlertid en kostnad per bruk knyttet til denne løsningen, og det krever et allerede etablert fasttelefon-eller mobilnummer for å fungere.
Passord er også begrenset til korte tegnstrenger ellers overføre passordet fra samtalen til påloggingsskjermen blir vanskelig for brukeren, eller krever flere forsøk på å få en kamp.
Engangspassord Via E-Post
hvis en e-postkonto er registrert sammen med en brukerkonto, kan engangspassord sendes til en e-postadresse for godkjenning under innlogging. E-postlevering for engangspassord er et kostnadseffektivt alternativ, men sikkerhet og brukervennlighet kan bli ofret. E-post var ikke ment å være sentrum for våre digitale liv på den måten det er nå, så det ble ikke designet med noen sikkerhet eller personvern i tankene.
91% av alle cyberangrep starter med e-post, og det er den minst sikre metoden for tofaktorautentisering. Det er også avhengig av at brukerne har konsekvent tilgang til en e-postkonto. Brukere kan også pådra passord reset forespørsler og time-outs som de prøver å få tilgang til sin e-postkonto for å få tilgang TIL OTP.
engangspassord via post
et postbasert system fungerer i hovedsak på samme måte som andre meldingssystemer, men passordet tar lengre tid å bli kommunisert til sluttbrukeren. Gyldigheten av passordet er derfor utvidet for å tillate forsinkelser i transitt. Noen banker vil sende lange trykte lister over engangspassord (kalt transaksjonsautentiseringsnumre eller TANs) til organisasjoner som de kan bruke i forretningsbanker. Banken har en matchende liste over passord lagret på sitt datasystem og passord må brukes i rekkefølge for å sikre en kamp.
Lister og tallnett tilbyr kostnadseffektive løsninger for Otp-Er, men de er trege og ikke veldig brukervennlige. Brukeren må opprettholde en liste over passord som ofte må brukes i rekkefølge, pluss hvis listen over passord kopieres eller faller i feil hender, har noen alle passordene dine.
Engangspassord via Push-varsling
Engangspassord via Push ligner PÅ SMS-baserte engangspassord, men denne gangen sendes det automatisk genererte passordet som et push-varsel til En App på brukerens enhet. Når push-varslingen er sendt til appen, kopierer brukeren koden til påloggingsskjermen for å bekrefte identiteten sin. Push notification er den mest kostnadseffektive løsningen da den bruker en eksisterende enhet (f.eks. brukerens mobile enhet) og ikke påløper KOSTNADENE VED SMS-meldinger.
Det er også en av de sikreste løsningene, pluss den brukervennlige. Med moderne mobiltelefoner kan du til og med inkludere en tredje autentiseringsfaktor som en biometrisk skanning (f. eks. fingeravtrykksskanning) for å sikre veldig stram sikkerhet. Ulempene er ganske minimal også-push-varslinger krever en dedikert app og programtilgang er gjenstand for mobiltelefon tap.
Hybrid engangspassord (det beste fra begge verdener)
du kan kombinere styrken TIL SMS og push-meldinger og bruke et hybridsystem. Passordet sendes i utgangspunktet via push notification som er raskt og kostnadseffektivt, men hvis brukeren ikke har appen installert eller er frakoblet, kan passordet sendes VIA SMS. Du kan også legge til et tredje reservealternativ for å få passordet levert via stemme hvis push og SMS har mislyktes av en eller annen grunn.
standard passordleveringsmetode kan være det som er mest effektivt for å holde kostnadene nede, men ved å bruke en hybridløsning sikrer du at brukerne alltid kan få tilgang til appen din, noe som igjen fremmer bedre appengasjement.
EN OTP kan gi stor sikkerhet og sterk autentisering.
Konklusjon
den gjennomsnittlige bedriftsbrukeren har 191 passord og skriver i gjennomsnitt 8 forskjellige passord per dag. Oftere enn ikke, resulterer dette i at sluttbrukerne enten bruker de samme passordene for flere kontoer, skriver passordene sine ned på post-it-notater eller bombarderer IT-helpdesk med forespørsler om tilbakestilling av passord – i gjennomsnitt utgjør forespørsler om tilbakestilling av passord 10% -30% av ALLE it-helpdesk-samtaler.
tofaktorautentisering er spesielt viktig når det gjelder å beskytte bedriftsdata mot nettkriminalitet og svindel. Den viktigste fordelen adressert Av OTPs er at, i motsetning til statiske passord, de er ikke sårbare for replay angrep.
tofaktorautentisering (i form av engangspassord), herder et tradisjonelt bruker-ID og statisk passordsystem ved å legge til en annen, dynamisk legitimasjon. Selv om brukerne dine bruker det samme (eller lignende) passordet for hvert system, blir systemet ditt mindre sårbart, da det er usannsynlig at begge lagene av sikkerhet vil bli kompromittert av en hacker.
Det er også en tredje tilgjengelig faktor, f. eks. fingeravtrykk, retina scan, voiceprint, ansiktsgjenkjenning, etc, som kan brukes til å legge til et annet lag med sikkerhet. Det står til grunn at jo flere faktorer som kreves for å autentisere, jo sikrere blir systemene dine.
Klikk Her For vår GUIDE Om STERK Kundeautentisering (SCA), et krav for nettbetalinger innen utgangen av 2020.
på ulemper er sterke engangspassord vanskelig for mennesker å huske, derfor krever de ekstra teknologi for å fungere. FOR OTP-systemer som er avhengige av låsesteg eller motsynkronisering, må passordgeneratorer takle situasjonen der et elektronisk token driver ut av synkronisering med serveren, noe som fører til ytterligere utviklingskostnader. Tidssynkroniserte systemer, derimot, unngår dette på bekostning av å måtte opprettholde en klokke i de elektroniske tokens (og en offsetverdi for å ta hensyn til klokkedrift).
de billigste (og beste) løsningene er de som leverer OTPs uten kostnadene forbundet med proprietær maskinvare. Enkle metoder som manuelt genererte lister eller tallnett tilbyr rimelige løsninger, men de er langsomme og vanskelige å vedlikeholde. Brukere er pålagt å bære en liste over passord rundt og holde styr på hvor de er i listen.
Pluss, hvis listen faller i feil hender, har noen alle passordene dine. De beste løsningene bruker derfor en eksisterende enhet (f. eks. mobiltelefon) og leverer engangspassord uten kostnadene forbundet MED SMS-meldinger (dvs.push-varsling).
Klikk her for å lese våre tanker om Passorddeling (vi vet at du også er skyldig i dette!)
for å holde bedriftens data trygge må du vite hvordan du genererer sikre engangspassord for sterk tofaktorautentisering eller flerfaktorautentisering. Du må også vite hvordan du distribuerer engangspassord til klienter eller ansatte, slik at systemet du har opprettet, ikke er sårbart for angrep. Snakk med en sikkerhetsekspert som 10Duke for å finne ut hvordan du implementerer sikker tofaktorautentisering eller flerfaktorautentisering, for å holde dine ansatte og dine applikasjoner sikre.