jednorazowe hasło lub OTP to hasło, które jest ważne tylko raz. OTP mogą być używane do zwiększenia bezpieczeństwa i obsługi silnego uwierzytelniania. W tym artykule wyjaśnimy podstawy OTP i jak można je wdrożyć.
obecnie większość sieci korporacyjnych wymaga tylko nazwy użytkownika i statycznego hasła, aby uzyskać dostęp do danych osobistych i poufnych. Ten rodzaj uwierzytelniania jednoskładnikowego jest bardzo wygodny, jednak w naszym współczesnym świecie nie jest zbyt bezpieczny. Większość ludzi rozumie, że powinni używać unikalnych haseł dla każdego konta online. Jednak 69% z nas i tak używa tego samego hasła.
co więcej, 47% osób używa hasła, które ma więcej niż 5 lat, a najczęściej używanym hasłem jest „123456” – używane przez oszałamiające 17% osób. Co gorsza, aż 95 procent ludzi dzieli się z przyjaciółmi nawet 6 hasłami.
nawet jeśli Twoi użytkownicy końcowi dobrze radzą sobie z hasłami (używają innego silnego hasła dla każdego konta online i nigdy nie zapisują ich nigdzie), nadal mogą zostać zagrożeni przez keylogging złośliwego oprogramowania lub ataki typu man-in-the-middle. Jak więc chronić siebie i najcenniejsze aktywa swojej firmy przed złą higieną haseł lub elektronicznym podsłuchiwaniem? Jednym ze sposobów jest użycie „jednorazowego hasła” – jednorazowego hasła, które jest ważne tylko „jednorazowo”.
co to jest hasło jednorazowe?
hasła jednorazowe to hasła, które są ważne tylko dla jednej sesji logowania lub transakcji, dlatego zapewniają ochronę przed różnymi atakami opartymi na hasłach, w szczególności atakami wąchania haseł i powtarzania. Zazwyczaj hasło jednorazowe to seria liczb lub znaków, które są generowane automatycznie.
aby ten system działał, hasło musi się zmieniać za każdym razem, gdy jest używane, ale musi być też jakaś synchronizacja między ciągle zmieniającym się hasłem, używanym systemem komputerowym lub aplikacją a Użytkownikiem końcowym. Ta synchronizacja musi również odbywać się bez przesyłania danych za pomocą niebezpiecznych metod, takich jak e-mail.
jak synchronizowane są hasła jednorazowe?
hasła jednorazowe mogą być generowane na kilka sposobów, a każde z nich ma kompromisy pod względem bezpieczeństwa, wygody i kosztów.
Synchronizacja czasu
jednym z podejść do generowania haseł jednorazowych jest użycie synchronizacji czasu. Każdy użytkownik ma osobisty token (który może wyglądać jak mały kalkulator lub pęk kluczy) z wyświetlaczem, który pokazuje liczbę, która zmienia się od czasu do czasu. Wewnątrz tokena osobistego znajduje się zegar zsynchronizowany z zegarem na zastrzeżonym serwerze uwierzytelniania. Zarówno urządzenie, jak i serwer aplikacji generują nowe OTP w oparciu o numeryczną wersję bieżącego czasu.
hasła zsynchronizowane w czasie nie zawsze muszą być idealnie dopasowane i zazwyczaj jest okno, w którym starsze lub nowsze hasła będą akceptowane. Dzieje się tak po prostu dlatego, że ludzie potrzebują trochę czasu na przeczytanie i wprowadzenie hasła jednorazowego, więc na przykład nietypowe byłoby zmienianie hasła co sekundę, ponieważ użytkownik końcowy nie miałby wystarczająco dużo czasu na wprowadzenie hasła, zanim stanie się ono nieważne.
samo hasło jest zwykle skrótem czasu bieżącego – np. 16.43 staje się 1643, który jest następnie uruchamiany przez generator kodu i matematyczny proces zwany funkcją skrótu (lub kodem skrótu) w celu wygenerowania unikalnego 10-cyfrowego kodu, który jest hasłem jednorazowym.
czas jest zatem ważną częścią algorytmu haseł, ponieważ generowanie nowych haseł opiera się na „czasie bieżącym”. Jeśli Zegary zbyt daleko od kroku, token nie wygeneruje poprawnych haseł i będzie musiał zostać zresetowany. Aby uniknąć problemu różnych stref czasowych można użyć znacznika czasu Uniksa, który jest uniwersalnym czasem skoordynowanym.
lock-step
druga metoda obejmuje system komputerowy i token rozpoczynający się tym samym wspólnym numerem (zwanym Seedem). Za każdym razem, gdy generowane jest nowe hasło, urządzenie tokenowe zwiększa swój wewnętrzny licznik, a za każdym razem, gdy faktycznie się logujesz, serwer również zwiększa swój licznik.
można wyjść z kroku generując hasła, które nie są używane, co powoduje, że licznik w tokenie przesuwa się bardziej niż licznik na serwerze aplikacji. Jednak tolerancja jest zwykle tworzona tak, że rzeczy mogą być trochę poza synchronizacją, a serwer będzie (Zwykle) automatycznie ponownie synchronizować w przypadku, gdy stanie się poza etapem.
ta technika OTP nazywa się synchronizacją typu lock-step lub counter, i chociaż zastrzeżony sprzęt jest nadal wymagany, nie cierpi z powodu wady utrzymywania zegarów w czasie.
OTP oparte na transmisji
trzecie podejście jest zupełnie inne. Zamiast dwóch urządzeń niezależnie odpowiedzialnych za własne hasła (które są następnie porównywane pod kątem ważności), hasła są generowane losowo przez serwer uwierzytelniania. Ponieważ to hasło jest całkowicie losowe, nie jest możliwe, aby urządzenie tokenowe automatycznie pozostało w kroku, dlatego hasło OTP musi być aktywnie przekazywane użytkownikowi końcowemu.
tego typu hasła jednorazowe są często określane jako „SMS-OTP”, ponieważ są najczęściej wysyłane za pomocą wiadomości tekstowych, ale mogą być również generowane przez aplikację lub ręczne urządzenie elektroniczne (zwane tokenem bezpieczeństwa) lub w niektórych przypadkach mogą być nawet wydrukowane i wysłane pocztą. Jeśli chcesz uwierzytelnić się, system wyśle Ci hasło i użyjesz go do zalogowania się. Jedną z ogromnych zalet tej metody jest to, że eliminuje ona potrzebę dostarczania i utrzymywania zastrzeżonego sprzętu.
jak przekazywane są hasła jednorazowe?
jednorazowe hasła mogą być przekazywane użytkownikom końcowym na kilka sposobów, a każde z nich ma kompromisy pod względem bezpieczeństwa, wygody i kosztów.
jednorazowe hasło za pomocą wiadomości SMS
ta metoda wymaga niezawodnej, wysokiej jakości usługi SMS. Gdy użytkownik uzupełni poprawną nazwę użytkownika i hasło podczas logowania, uruchamiana jest wiadomość tekstowa z hasłem jednorazowym, która jest wysyłana na numer telefonu komórkowego zarejestrowany na koncie użytkownika. Następnie użytkownik kończy proces uwierzytelniania wprowadzając do ekranu logowania aplikacji kod wyświetlony w wiadomości SMS. Użytkownicy końcowi mają zazwyczaj pewien okres czasu, zanim hasło wygaśnie.
jednorazowe hasło za pomocą głosu
alternatywą dla wiadomości SMS jest głos, który wykorzystuje istniejącą linię stacjonarną lub telefon komórkowy do odbierania mówionego hasła jako połączenia telefonicznego na numer telefonu stacjonarnego lub komórkowego użytkownika. Zaletą tej metody jest to, że hasła nie są przechowywane na telefonie użytkownika, a ponadto pozwala dotrzeć do użytkowników z ograniczonym wzrokiem. Jednak z tym rozwiązaniem wiąże się koszt użycia i wymaga on już ustalonego numeru telefonu stacjonarnego lub komórkowego do działania.
hasła są również ograniczone do krótkich ciągów znaków, w przeciwnym razie przeniesienie hasła z połączenia na ekran logowania staje się trudne dla użytkownika lub wymaga wielu prób dopasowania.
jednorazowe hasło za pośrednictwem poczty e-mail
jeśli konto e-mail jest zarejestrowane wraz z kontem użytkownika, jednorazowe hasła mogą zostać wysłane na adres e-mail w celu uwierzytelnienia podczas logowania. Dostawa e-maili za jednorazowe hasła jest opłacalną opcją, jednak Bezpieczeństwo i użyteczność mogą zostać poświęcone. E-mail nie miał być centrum naszego cyfrowego życia w taki sposób, w jaki jest teraz, więc nie został zaprojektowany z myślą o bezpieczeństwie ani prywatności.
91% wszystkich cyberataków zaczyna się od poczty e-mail i jest to najmniej bezpieczna metoda uwierzytelniania dwuskładnikowego. Zależy to również od tego, czy użytkownicy mają stały dostęp do konta e-mail. Użytkownicy mogą również ponosić żądania zresetowania hasła i przerwy w dostępie do konta e-mail w celu uzyskania dostępu do hasła jednorazowego.
jednorazowe hasło za pośrednictwem poczty
system pocztowy działa zasadniczo tak samo jak inne systemy przesyłania wiadomości, ale przekazanie hasła użytkownikowi końcowemu zajmuje więcej czasu. W związku z tym Ważność hasła została rozszerzona, aby umożliwić opóźnienia w tranzycie. Niektóre banki wysyłają długie drukowane listy haseł jednorazowych (zwanych numerami uwierzytelniania transakcji lub Tan) do organizacji, które mogą być używane w bankowości biznesowej. Bank ma pasującą listę haseł przechowywanych w swoim systemie komputerowym, a Hasła muszą być używane w kolejności, aby zapewnić zgodność.
listy i siatki numerów oferują ekonomiczne rozwiązania dla OTP, ale są powolne i niezbyt przyjazne dla użytkownika. Użytkownik musi utrzymywać listę haseł, które często muszą być używane w kolejności, a jeśli lista haseł zostanie skopiowana lub wpadnie w niepowołane ręce, to ktoś ma wszystkie Twoje hasła.
jednorazowe hasło za pomocą powiadomienia Push
jednorazowe hasła za pomocą Push są podobne do haseł jednorazowych opartych na SMS, jednak tym razem automatycznie wygenerowane hasło jest wysyłane jako powiadomienie push do aplikacji na urządzeniu użytkownika. Po wysłaniu powiadomienia push do aplikacji użytkownik kopiuje kod na ekran logowania, aby zweryfikować swoją tożsamość. Powiadomienie Push jest najbardziej opłacalnym rozwiązaniem, ponieważ korzysta z istniejącego urządzenia (np. urządzenia mobilnego użytkownika) i nie ponosi kosztów przesyłania wiadomości SMS.
jest to również jedno z najbezpieczniejszych rozwiązań, a także przyjazne dla użytkownika. W przypadku nowoczesnych telefonów komórkowych można nawet uwzględnić trzeci czynnik uwierzytelniania, taki jak skanowanie biometryczne (np. skanowanie linii papilarnych), aby zapewnić naprawdę ścisłe bezpieczeństwo. Wady są dość minimalne zbyt-powiadomienia push wymagają dedykowanej aplikacji i dostęp do aplikacji podlega utracie telefonu komórkowego.
Hybrydowe hasło jednorazowe (najlepsze z obu światów)
możesz połączyć zalety wiadomości SMS i push i użyć systemu hybrydowego. Hasło jest początkowo wysyłane za pomocą powiadomienia push, które jest szybkie i opłacalne, ale jeśli użytkownik nie ma zainstalowanej aplikacji lub jest offline, hasło może zostać wysłane za pomocą WIADOMOŚCI SMS. Możesz również dodać trzecią opcję awaryjną polegającą na dostarczeniu hasła za pomocą głosu, jeśli push i SMS nie powiodły się z jakiegoś powodu.
domyślna metoda dostarczania hasła może być tym, co jest najbardziej skuteczne w utrzymaniu kosztów na niskim poziomie, ale korzystając z rozwiązania hybrydowego, masz pewność, że użytkownicy zawsze mogą uzyskać dostęp do Twojej aplikacji, co z kolei promuje lepsze zaangażowanie aplikacji.
hasło jednorazowe może zapewnić doskonałe bezpieczeństwo i silne uwierzytelnianie.
wniosek
przeciętny użytkownik biznesowy ma 191 haseł i wpisuje średnio 8 różnych haseł dziennie. Często powoduje to, że użytkownicy końcowi używają tych samych haseł dla wielu kont, zapisują swoje hasła w notatkach post-it lub bombardują dział pomocy technicznej IT żądaniami resetowania hasła-średnio żądania resetowania hasła stanowią 10% -30% wszystkich połączeń z działem pomocy technicznej IT.
uwierzytelnianie dwuskładnikowe jest szczególnie ważne, jeśli chodzi o ochronę danych przedsiębiorstwa przed cyberprzestępczością i oszustwami. Najważniejszą zaletą serwerów OTP jest to, że w przeciwieństwie do haseł statycznych nie są one podatne na ataki typu replay.
uwierzytelnianie dwuskładnikowe (w postaci haseł jednorazowych) utwardza tradycyjny identyfikator użytkownika i STATYCZNY system haseł poprzez dodanie kolejnego, dynamicznego poświadczenia. Nawet jeśli użytkownicy używają tego samego (lub podobnego) hasła dla każdego systemu, system jest mniej podatny na zagrożenia, ponieważ jest mało prawdopodobne, że obie warstwy zabezpieczeń zostaną naruszone przez hakera.
jest też trzeci dostępny czynnik, np. odciski palców, skanowanie siatkówki, Wydruk głosu, rozpoznawanie twarzy itp., które można wykorzystać do dodania kolejnej warstwy zabezpieczeń. Wynika z tego, że im więcej czynników jest wymaganych do uwierzytelnienia, tym bezpieczniejsze będą twoje systemy.
Kliknij tutaj, aby uzyskać nasz przewodnik na temat silnego uwierzytelniania klienta (SCA), wymogu płatności online do końca 2020 roku.
z drugiej strony silne hasła jednorazowe są trudne do zapamiętania przez człowieka, dlatego wymagają dodatkowej technologii do działania. W przypadku systemów OTP, które opierają się na synchronizacji typu lock-step lub counter, Generatory haseł muszą radzić sobie z sytuacją, w której token elektroniczny traci synchronizację z serwerem, co prowadzi do dodatkowych kosztów rozwoju. Z drugiej strony systemy synchronizujące czas unikają tego kosztem utrzymywania zegara w tokenach elektronicznych (i wartości offsetu uwzględniającej dryf zegara).
najtańsze (i najlepsze) rozwiązania to te, które dostarczają OTP bez kosztów związanych z zastrzeżonym sprzętem. Proste metody, takie jak ręcznie generowane listy lub siatki numerów, oferują tanie rozwiązania, ale są powolne i trudne w utrzymaniu. Użytkownicy są zobowiązani do noszenia listy haseł i śledzenia, gdzie są na liście.
Plus, jeśli lista wpadnie w niepowołane ręce to ktoś ma wszystkie Twoje hasła. Najlepsze rozwiązania wykorzystują zatem istniejące urządzenie (np. telefon komórkowy) i dostarczają jednorazowe hasła bez ponoszenia kosztów związanych z komunikacją SMS (np. powiadomienie push).
Kliknij tutaj, aby przeczytać nasze przemyślenia na temat udostępniania haseł (wiemy, że ty też jesteś winny!)
aby zapewnić bezpieczeństwo danych firmowych, musisz wiedzieć, jak wygenerować bezpieczne jednorazowe hasła do silnego uwierzytelniania dwu-lub wieloskładnikowego. Musisz także wiedzieć, jak rozpowszechniać jednorazowe hasła klientom lub pracownikom, aby utworzony system nie był podatny na ataki. Porozmawiaj z ekspertem ds. bezpieczeństwa, takim jak 10Duke, aby dowiedzieć się, jak wdrożyć bezpieczne uwierzytelnianie dwu-lub wieloskładnikowe, aby zapewnić bezpieczeństwo swoim pracownikom i aplikacjom.