eenmalig wachtwoord of een OTP is een wachtwoord dat slechts één keer geldig is. OTP ‘ s kunnen worden gebruikt om de veiligheid te verbeteren en sterke authenticatie te ondersteunen. Dit artikel zal de basisprincipes van OTP ‘ s uitleggen en hoe ze kunnen worden geïmplementeerd.
tegenwoordig hebben de meeste bedrijfsnetwerken alleen een gebruikersnaam en een statisch wachtwoord nodig om toegang te krijgen tot persoonlijke en gevoelige gegevens. Dit type single-factor authenticatie is erg handig, maar het is niet erg veilig in onze moderne wereld. De meeste mensen begrijpen dat ze unieke wachtwoorden moeten gebruiken voor elke online account. Toch gebruikt 69% van ons toch hetzelfde wachtwoord.
bovendien gebruikt 47% van de mensen een wachtwoord dat meer dan 5 jaar oud is en het meest gebruikte wachtwoord is ‘123456’ – gebruikt door maar liefst 17% van de mensen. Wat nog erger is, een oogverblindende 95 procent van de mensen delen tot 6 wachtwoorden met hun vrienden.
zelfs als uw eindgebruikers goed zijn met wachtwoorden (ze gebruiken een ander sterk wachtwoord voor elk online account en schrijven ze nooit ergens op) kunnen ze nog steeds worden aangetast door keylogging malware of man-in-the-middle aanvallen. Dus hoe bescherm je jezelf en de meest waardevolle activa van je bedrijf tegen slechte wachtwoordhygiëne of elektronisch afluisteren? Een manier is om een ‘eenmalig wachtwoord’ te gebruiken-een wegwerp wachtwoord dat slechts ‘eenmalig’geldig is.
Wat is een eenmalig wachtwoord?
eenmalige wachtwoorden zijn wachtwoorden die slechts geldig zijn voor één aanmeldsessie of transactie, waardoor ze bescherming bieden tegen verschillende op Wachtwoorden gebaseerde aanvallen, met name wachtwoordsniffing en replay-aanvallen. Een OTP is een reeks getallen of tekens die automatisch worden gegenereerd.
om dit systeem te laten werken moet het wachtwoord elke keer dat het wordt gebruikt worden gewijzigd, maar er moet ook een soort synchronisatie zijn tussen het steeds veranderende wachtwoord, het gebruikte computersysteem of de toepassing en de eindgebruiker. Deze synchronisatie moet ook plaatsvinden zonder het verzenden van gegevens via onveilige methoden zoals e-mail.
Hoe worden eenmalige wachtwoorden gesynchroniseerd?
eenmalige wachtwoorden kunnen op verschillende manieren worden gegenereerd en elk heeft afwegingen in termen van veiligheid, gemak en kosten.
Tijdssynchronisatie
bij het genereren van eenmalige wachtwoorden wordt gebruik gemaakt van tijdssynchronisatie. Elke gebruiker heeft een persoonlijke token (die eruit zou kunnen zien als een kleine rekenmachine of een sleutelhanger) met een display dat een aantal dat af en toe verandert toont. In het persoonlijke token zit een klok die is gesynchroniseerd met de klok op de eigen authenticatieserver. Het apparaat en de toepassingsserver genereren beide nieuwe OTP ‘ s op basis van een numerieke versie van de huidige tijd.
tijd gesynchroniseerde wachtwoorden hoeven niet altijd een perfecte match te zijn en meestal is er een venster waar oudere of nieuwere wachtwoorden worden geaccepteerd. Dit wordt gewoon gedaan omdat het mensen een beetje tijd kost om de OTP te lezen en in te voeren, dus het zou bijvoorbeeld ongebruikelijk zijn dat een wachtwoord elke seconde verandert, omdat de eindgebruiker niet genoeg tijd heeft om het wachtwoord in te voeren voordat het ongeldig wordt.
het wachtwoord zelf is meestal een hash van de huidige tijd-bijvoorbeeld 16.43 wordt 1643, die vervolgens wordt uitgevoerd door een codegenerator en een wiskundig proces genaamd een hash functie (of hash code) om een unieke 10-cijferige code te genereren, dat is het eenmalige wachtwoord.
tijd is daarom een belangrijk onderdeel van het wachtwoordalgoritme, aangezien het genereren van nieuwe wachtwoorden gebaseerd is op de “huidige tijd”. Als de klokken te ver uit de pas, de token zal niet het genereren van de juiste wachtwoorden en zal moeten worden gereset. Om het probleem van verschillende tijdzones te voorkomen kan een Unix-tijdstempel worden gebruikt, wat een gecoördineerde universele tijd is.
Lock-step
de tweede methode omvat het computersysteem en het token beginnend met hetzelfde gedeelde nummer (een seed genoemd). Elke keer dat een nieuw wachtwoord wordt gegenereerd het token apparaat verhoogt zijn eigen interne teller, en elke keer dat u daadwerkelijk Inloggen, de server ook dan verhoogt het teller.
het is mogelijk om uit de pas te lopen door wachtwoorden te genereren die niet worden gebruikt, waardoor de teller in het token meer vooruitgaat dan de teller op de toepassingsserver. Echter, tolerantie wordt meestal gemaakt, zodat dingen een beetje uit sync, en de server zal (meestal) automatisch opnieuw synchroniseren in het geval dat het wordt uit de pas.
deze OTP techniek wordt lock-step of counter synchronisatie genoemd, en hoewel propriëtaire hardware nog steeds nodig is, heeft het geen last van het nadeel dat klokken op tijd moeten worden gehouden.
Transmission-based OTP
de derde benadering is totaal anders. In plaats van dat twee apparaten onafhankelijk verantwoordelijk zijn voor hun eigen wachtwoorden (die vervolgens worden vergeleken voor de geldigheid), worden wachtwoorden willekeurig gegenereerd door de authenticatieserver. Omdat dit wachtwoord volledig willekeurig is, is het niet mogelijk dat een token apparaat automatisch in de pas blijft, daarom moet de OTP actief worden gecommuniceerd naar de eindgebruiker.
dit soort wegwerpwachtwoorden wordt vaak “SMS-OTP” genoemd omdat ze meestal per sms worden verzonden, maar ze kunnen ook worden gegenereerd door een app of een handheld elektronisch apparaat (een beveiligingstoken genaamd) of in sommige gevallen kunnen ze zelfs worden afgedrukt en per post worden verzonden. Wanneer u zich wilt authenticeren, stuurt het systeem uw wachtwoord naar u en u gebruikt het wachtwoord om in te loggen. Een van de enorme voordelen van deze methode is dat het de noodzaak elimineert om propriëtaire hardware te leveren en te onderhouden.
Hoe worden eenmalige wachtwoorden verzonden?
eenmalige wachtwoorden kunnen op verschillende manieren aan eindgebruikers worden meegedeeld en elk van hen heeft afwegingen op het gebied van veiligheid, gemak en kosten.
eenmalig wachtwoord via SMS-bericht
deze methode vereist een betrouwbare SMS-dienst van hoge kwaliteit. Zodra de gebruiker de juiste gebruikersnaam en wachtwoord heeft ingevuld tijdens het inloggen, wordt een sms-bericht met een OTP geactiveerd, dat wordt verzonden naar het mobiele nummer dat is geregistreerd op het account van de gebruiker. De gebruiker voltooit vervolgens het verificatieproces door de code die in het SMS-bericht wordt weergegeven in het aanmeldscherm van de toepassing in te voeren. Eindgebruikers zijn meestal toegestaan een bepaalde periode voordat het wachtwoord verloopt.
eenmalig wachtwoord via Voice
een alternatief voor SMS is Voice, dat gebruik maakt van een bestaand vaste of mobiele telefoon om een gesproken wachtwoord te ontvangen als een telefoongesprek op het vaste of mobiele nummer van de gebruiker. Voordelen van deze methode zijn dat wachtwoorden niet worden opgeslagen op de telefoon van de gebruiker, plus het stelt u in staat om gebruikers te bereiken met een beperkt zicht. Echter, er is een kosten per gebruik in verband met deze oplossing en het vereist een reeds gevestigde vaste of mobiele nummer om te functioneren.
wachtwoorden zijn ook beperkt tot korte tekenreeksen anders wordt het overbrengen van het wachtwoord van de aanroep naar het aanmeldscherm moeilijk voor de gebruiker, of vereist meerdere pogingen om een overeenkomst te krijgen.
eenmalig wachtwoord via e-mail
als een e-mailaccount naast een gebruikersaccount is ingeschreven, kunnen eenmalige wachtwoorden naar een e-mailadres worden verzonden voor authenticatie tijdens het inloggen. E-mail levering voor een keer wachtwoorden is een kosteneffectieve optie, echter, veiligheid en bruikbaarheid kan worden opgeofferd. E-mail was niet bedoeld om het centrum van ons digitale leven in de manier waarop het nu is, dus het was niet ontworpen met enige veiligheid of privacy in het achterhoofd.91% van alle cyberaanvallen beginnen met e-mail, en het is de minst veilige methode voor twee-factor authenticatie. Het is ook afhankelijk van gebruikers met consistente toegang tot een e-mailaccount. Gebruikers kunnen ook wachtwoord reset verzoeken en time-outs als ze proberen om toegang te krijgen tot hun e-mailaccount om toegang te krijgen tot de OTP.
eenmalig wachtwoord via post
een mailgebaseerd systeem werkt in wezen op dezelfde manier als andere messaging-systemen, maar het duurt langer om het wachtwoord aan de eindgebruiker te communiceren. De geldigheid van het wachtwoord wordt daarom uitgebreid om vertragingen in de doorvoer mogelijk te maken. Sommige banken zullen lange gedrukte lijsten van eenmalige wachtwoorden (genaamd transactie authenticatie nummers of TANs), naar organisaties voor hen te gebruiken in business banking. De bank heeft een matching lijst van wachtwoorden opgeslagen op haar computersysteem en wachtwoorden moeten in volgorde worden gebruikt om een match te garanderen.
lijsten en nummerroosters bieden kosteneffectieve oplossingen voor OTP ‘ s, maar ze zijn traag en niet erg gebruiksvriendelijk. De gebruiker moet een lijst met wachtwoorden die vaak moet worden gebruikt in volgorde te houden, plus als uw lijst met wachtwoorden wordt gekopieerd of valt in de verkeerde handen, hen iemand heeft al uw wachtwoorden.
One-time password via Push notification
One-time passwords via Push zijn vergelijkbaar met SMS – gebaseerde eenmalige wachtwoorden, maar deze keer wordt het automatisch gegenereerde wachtwoord als een push notification naar een App op het apparaat van de gebruiker verzonden. Zodra de push notificatie naar de app is verzonden, kopieert de gebruiker de code naar het inlogscherm om zijn identiteit te verifiëren. Push notification is de meest kosteneffectieve oplossing omdat het gebruik maakt van een bestaand apparaat (bijvoorbeeld het mobiele apparaat van de gebruiker) en niet de kosten van SMS-berichten met zich meebrengt.
het is ook een van de veiligste oplossingen, plus zijn gebruiksvriendelijk. Met moderne mobiele telefoons, kunt u zelfs een derde authenticatie factor, zoals een biometrische scan (bijvoorbeeld vingerafdruk scan) om echt strakke beveiliging te garanderen. De nadelen zijn vrij minimaal te-push-notificaties vereisen een speciale app en applicatie toegang is onderworpen aan mobiele telefoon verlies.
Hybrid ONE-time password (the best of both worlds)
u kunt de sterke punten van SMS en push messaging combineren en een hybride systeem gebruiken. Het wachtwoord wordt in eerste instantie verzonden via een push notificatie die snel en kosteneffectief is, maar als uw gebruiker uw app niet heeft geïnstalleerd of offline is, kan het wachtwoord worden verzonden via SMS. U kunt ook een derde fallback optie van het hebben van het wachtwoord geleverd via voice als push en SMS zijn mislukt om een of andere reden.
uw standaard wachtwoordleveringsmethode kan het meest effectief zijn om uw kosten laag te houden, maar door een hybride oplossing te gebruiken, zorgt u ervoor dat gebruikers altijd toegang tot uw app kunnen krijgen, wat op zijn beurt een betere app-betrokkenheid bevordert.
een OTP kan grote beveiliging en sterke authenticatie bieden.
conclusie
de gemiddelde zakelijke gebruiker heeft 191 wachtwoorden en typt gemiddeld 8 verschillende wachtwoorden per dag. Vaker wel dan niet, dit resulteert in uw eindgebruikers ofwel met behulp van dezelfde wachtwoorden voor meerdere accounts, schrijven hun wachtwoorden neer op post-it notes of bombarderen uw IT – helpdesk met wachtwoord reset aanvragen-gemiddeld, wachtwoord reset aanvragen maken 10% -30% van alle IT-helpdesk gesprekken. Tweefactorauthenticatie is vooral belangrijk als het gaat om de bescherming van bedrijfsgegevens tegen cybercriminaliteit en fraude. Het belangrijkste voordeel van OTP ‘ s is dat ze, in tegenstelling tot statische wachtwoorden, niet kwetsbaar zijn voor replay-aanvallen.
twee-factor authenticatie (in de vorm van eenmalige wachtwoorden), verhardt een traditionele gebruikers-ID en een statisch wachtwoordsysteem door het toevoegen van een andere, dynamische credential. Zelfs als uw gebruikers gebruik maken van hetzelfde (of soortgelijke) wachtwoord voor elk systeem, uw systeem is minder kwetsbaar gemaakt als het onwaarschijnlijk is dat beide lagen van de beveiliging zou worden aangetast door een hacker.
er is ook een derde beschikbare factor, bijv. vingerafdrukken, netvliesscan, spraakafdruk, gezichtsherkenning, enz., die kunnen worden gebruikt om een andere beveiligingslaag toe te voegen. Het spreekt voor zich dat hoe meer factoren die nodig zijn om te verifiëren, hoe veiliger uw systemen zal zijn.
Klik hier voor onze gids over Strong Customer Authentication (SCA), een vereiste voor online betalingen tegen het einde van 2020.Aan de andere kant zijn sterke eenmalige wachtwoorden moeilijk te onthouden voor mensen, zodat ze extra technologie nodig hebben om te werken. Voor OTP-systemen die afhankelijk zijn van lock-step of counter synchronisatie, moeten wachtwoordgeneratoren omgaan met de situatie waarin een elektronisch token niet synchroon loopt met zijn server, wat leidt tot extra ontwikkelingskosten. Tijd-gesynchroniseerde systemen, anderzijds, vermijden dit ten koste van het hebben van een klok in de elektronische tokens (en een offset waarde om rekening te houden met klokdrift).
de goedkoopste (en beste) oplossingen zijn die welke OTP ‘ s leveren zonder de kosten die verbonden zijn aan propriëtaire hardware. Eenvoudige methoden zoals handmatig gegenereerde lijsten of nummer roosters bieden goedkope oplossingen, maar ze zijn traag en moeilijk te onderhouden. Gebruikers zijn verplicht om een lijst met wachtwoorden mee te nemen en bij te houden waar ze zich in de lijst bevinden.
Plus, als de lijst in verkeerde handen valt, dan heeft iemand al uw wachtwoorden. De beste oplossingen maken dan ook gebruik van een bestaand apparaat (bv. een mobiele telefoon) en leveren eenmalige wachtwoorden zonder de kosten die verbonden zijn aan SMS-berichten (bv. push notification).
Klik hier om onze gedachten over het delen van wachtwoorden te lezen (we weten dat je hier ook schuldig aan bent!)
om uw bedrijfsgegevens veilig te houden, moet u weten hoe u veilige eenmalige wachtwoorden kunt genereren voor sterke twee-factor-of multi-factor-authenticatie. U moet dan ook weten hoe u eenmalige wachtwoorden aan klanten of medewerkers kunt distribueren, zodat het systeem dat u hebt gemaakt niet kwetsbaar is voor aanvallen. Praat met een beveiligingsexpert als 10Duke om erachter te komen hoe u veilige twee-factor-of multi-factor-authenticatie kunt implementeren, om uw medewerkers en uw applicaties veilig te houden.