senha única ou um OTP é uma senha válida apenas uma vez. OTPs pode ser usado para melhorar a segurança e apoiar a autenticação forte. Este artigo explicará os fundamentos das OTPs e como elas podem ser implementadas.
hoje, a maioria das redes corporativas requer apenas um nome de usuário e senha estática para acessar dados pessoais e confidenciais. Esse tipo de autenticação de fator único é muito conveniente, no entanto, não é muito seguro em nosso mundo moderno. A maioria das pessoas entende que deve usar senhas exclusivas para cada conta online. No entanto, 69% de nós usam a mesma senha de qualquer maneira.
além disso, 47% das pessoas usam uma senha com mais de 5 anos e a senha mais comumente usada, é ‘123456’ – usada por impressionantes 17% das pessoas. O que é ainda pior, 95% das pessoas compartilham até 6 senhas com seus amigos.
mesmo que seus usuários finais sejam bons com senhas (eles usam uma senha forte diferente para cada conta online e nunca os escrevem em qualquer lugar), eles ainda podem ser comprometidos por malware de keylogging ou ataques man-in-the-middle. Então, como você protege a si mesmo e aos ativos mais valiosos de sua empresa contra falta de higiene de senha ou espionagem eletrônica? Uma maneira é usar uma ‘senha única’ – uma senha descartável que é válida apenas’uma vez’.
o que é uma senha única?
senhas únicas são senhas que são válidas apenas para uma sessão de login ou transação, fornecendo proteção contra vários ataques baseados em senha, especificamente ataques de sniffing e replay de senhas. Normalmente, um OTP é uma série de números ou caracteres que são gerados automaticamente.
para que este sistema funcione, a senha deve ser alterada toda vez que for usada, mas também precisa haver algum tipo de sincronização entre a senha em constante mudança, o sistema ou aplicativo do computador que está sendo usado e o usuário final. Essa sincronização também precisa ocorrer sem transmitir nenhum dado por meio de métodos inseguros, como e-mail.
como as senhas únicas são sincronizadas?
senhas únicas podem ser geradas de várias maneiras e cada uma tem trade-offs em termos de segurança, conveniência e custo.
sincronização de tempo
uma abordagem para gerar senhas únicas é usar a sincronização de tempo. Cada usuário tem um token pessoal (que pode parecer uma pequena calculadora ou um chaveiro) com uma tela que mostra um número que muda ocasionalmente. Dentro do token pessoal há um relógio que foi sincronizado com o relógio no servidor de autenticação proprietário. O dispositivo e o servidor de aplicativos geram novos OTPs com base em uma versão numérica da hora atual.
senhas sincronizadas de tempo nem sempre precisam ser uma combinação perfeita e, normalmente, há uma janela onde senhas mais antigas ou mais recentes serão aceitas. Isso é feito simplesmente porque leva um pouco de tempo para os humanos lerem e inserirem o OTP, portanto, por exemplo, seria incomum que uma senha mudasse a cada segundo, pois o usuário final não teria tempo suficiente para inserir a senha antes que ela se tornasse inválida.
a senha em si é geralmente um hash do tempo atual-por exemplo, 16.43 torna-se 1643, que é então executado através de um gerador de código e um processo matemático chamado de função hash (ou código hash) para gerar um código único de 10 dígitos, que é a senha única.
o tempo é, portanto, uma parte importante do algoritmo de senha, uma vez que a geração de novas senhas é baseada no ‘tempo atual’. Se os relógios ficarem muito longe do passo, o token não gerará senhas corretas e precisará ser redefinido. Para evitar o problema de diferentes fusos horários, um carimbo de data / hora Unix pode ser usado, que é um tempo Universal Coordenado.
Lock-step
o segundo método envolve o sistema de computador e o token começando com o mesmo número compartilhado (chamado de semente). Cada vez que uma nova senha é gerada, o dispositivo token incrementa seu próprio contador interno e, cada vez que você realmente faz login, o servidor também incrementa seu contador.
é possível sair do passo gerando senhas que não são usadas, resultando no contador no token avançando mais do que o contador no servidor de aplicativos. No entanto, a tolerância geralmente é criada para que as coisas possam estar um pouco fora de sincronia, e o servidor (geralmente) sincronizará automaticamente no caso de ficar fora de sintonia.
esta técnica OTP é chamada de sincronização de bloqueio ou contador e, embora o hardware proprietário ainda seja necessário, não sofre com a desvantagem de ter que manter os relógios no tempo.
OTP baseado em transmissão
a terceira abordagem é completamente diferente. Em vez de dois dispositivos serem independentemente responsáveis por suas próprias senhas (que são então comparadas para validade), as senhas são geradas aleatoriamente pelo servidor de autenticação. Como essa senha é completamente aleatória, não é possível que um dispositivo token permaneça automaticamente em pé, portanto, o OTP precisa ser ativamente comunicado ao usuário final.
Esses tipos de senhas descartáveis são muitas vezes referidos como “SMS-OTP”, como são mais comumente enviado por mensagem de texto, mas eles também podem ser gerados por um aplicativo portátil ou dispositivo eletrônico (chamado de token de segurança) ou, em alguns casos, eles podem até mesmo ser impresso e enviado pelo correio. Quando você deseja autenticar, o sistema envia sua senha para você e você usa a senha para fazer login. Uma das grandes vantagens desse método é que ele elimina a necessidade de fornecer e manter hardware proprietário.
como as senhas únicas são transmitidas?
as senhas de uma só vez podem ser comunicadas aos usuários finais em diversas maneiras e cada um tem trade-offs no termo da segurança, da conveniência, e do custo.
senha única via mensagem SMS
este método requer um serviço SMS confiável e de alta qualidade. Uma vez que o usuário completa o nome de usuário e a senha corretos durante o login, uma mensagem de texto com um OTP é acionada, que é enviada para o número de celular registrado na conta do Usuário. O usuário conclui o processo de autenticação inserindo o código exibido na mensagem SMS na tela de login do aplicativo. Os usuários finais geralmente têm permissão para um determinado período de tempo antes que a senha expire.
senha única via voz
uma alternativa ao SMS é a voz, que usa um telefone fixo ou celular existente para receber uma senha falada como uma chamada telefônica no telefone fixo ou número de celular do Usuário. As vantagens desse método são que as senhas não são armazenadas no telefone do usuário, além de permitir que você alcance os usuários com visão limitada. No entanto, há um custo por uso associado a esta solução e requer um telefone fixo ou número de celular já estabelecido para funcionar.
as senhas também são limitadas a cadeias de caracteres curtas, caso contrário, transferir a senha da chamada para a tela de login torna-se difícil para o usuário ou requer várias tentativas para obter uma correspondência.
senha via e-Mail
Se uma conta de e-mail está inscrito ao lado de uma conta de usuário, uma vez senhas podem ser enviadas para um endereço de e-mail para autenticação durante a sessão. A entrega de E-mail por senhas únicas é uma opção econômica, no entanto, a segurança e a usabilidade podem ser sacrificadas. O e-mail não pretendia ser o centro de nossas vidas digitais da maneira que é agora, por isso não foi projetado com NENHUMA segurança ou privacidade em mente.
91% de todos os ataques cibernéticos começam com e-mail, e é o método menos seguro para autenticação de dois fatores. Também depende de usuários com acesso consistente a uma conta de E-mail. Os usuários também podem incorrer em solicitações de redefinição de senha e tempo limite enquanto tentam acessar sua conta de E-mail para obter acesso ao OTP.
senha única via post
um sistema baseado em email funciona essencialmente da mesma maneira que outros sistemas de mensagens, mas a senha leva mais tempo para ser comunicada ao usuário final. A validade da senha é, portanto, estendida para permitir atrasos no trânsito. Alguns bancos enviarão longas listas impressas de senhas únicas (chamadas de números de autenticação de transação ou TANs) para organizações para que elas usem no Business banking. O banco tem uma lista correspondente de senhas armazenadas em seu sistema de computador e as senhas devem ser usadas em sequência para garantir uma correspondência.
listas e grades de números oferecem soluções econômicas para OTPs, mas são lentas e não muito fáceis de usar. O usuário tem que manter uma lista de senha que muitas vezes tem que ser usado em sequência, além disso, se a sua lista de senhas é copiado ou cai nas mãos erradas, eles alguém tem todas as suas senhas.
senha única via notificação Push
senhas únicas via Push são semelhantes às senhas únicas baseadas em SMS, no entanto, desta vez a senha gerada automaticamente é enviada como uma notificação push para um aplicativo no dispositivo do Usuário. Uma vez que a notificação push foi enviada para o aplicativo, o usuário copia o código para a tela de login para verificar sua identidade. A notificação Push é a solução mais econômica, pois usa um dispositivo existente (por exemplo, o dispositivo móvel dos usuários) e não incorre nos custos de mensagens SMS.
é também uma das soluções mais seguras, além de ser fácil de usar. Com os telefones celulares modernos, você pode até incluir um terceiro fator de autenticação, como uma varredura biométrica (por exemplo, varredura de impressão digital) para garantir uma segurança realmente rígida. As desvantagens também são mínimas-as notificações push exigem um aplicativo dedicado e o acesso ao aplicativo está sujeito à perda de telefone celular.
senha híbrida única (o melhor dos dois mundos)
você pode combinar os pontos fortes das mensagens SMS e push e usar um sistema híbrido. A senha é inicialmente enviada por notificação push, que é rápida e econômica, mas se o Usuário não tiver seu aplicativo instalado ou estiver offline, a senha pode ser enviada via SMS. Você também pode adicionar uma terceira opção de fallback de ter a senha entregue via voz se o push e o SMS falharem por algum motivo.
seu método de entrega de senha padrão pode ser o que for mais eficaz para manter seus custos baixos, mas ao usar uma solução híbrida, você garante que os usuários sempre tenham acesso ao seu aplicativo, o que, por sua vez, promove um melhor engajamento no aplicativo.
um OTP pode fornecer grande segurança e autenticação forte.
conclusão
o usuário médio de negócios tem 191 senhas e digita uma média de 8 senhas diferentes por dia. Na maioria das vezes, isso resulta em seus usuários finais usando as mesmas senhas para várias contas, escrevendo suas senhas em notas post-it ou bombardeando seu helpdesk de TI com solicitações de redefinição de senha-em média, as solicitações de redefinição de senha representam 10% -30% de todas as chamadas de helpdesk de TI. A autenticação de dois fatores é especialmente importante quando se trata de proteger os dados corporativos contra crimes cibernéticos e fraudes. A vantagem mais importante abordada pelas OTPs é que, em contraste com as senhas estáticas, elas não são vulneráveis a ataques de repetição.
autenticação de dois fatores (na forma de senhas únicas), endurece um ID de usuário tradicional e um sistema de senha estática adicionando outra credencial dinâmica. Mesmo que seus usuários estejam usando a mesma senha (ou similar) para cada sistema, seu sistema fica menos vulnerável, pois é improvável que ambas as camadas de segurança sejam comprometidas por um hacker.
há também um terceiro fator disponível, por exemplo. impressões digitais, retina scan, voiceprint, reconhecimento facial, etc, que podem ser usados para adicionar outra camada de segurança. É lógico que quanto mais fatores forem necessários para se autenticar, mais seguros serão seus sistemas.
Clique aqui para obter nosso guia sobre autenticação forte do cliente( SCA), um requisito para pagamentos on-line até o final de 2020.
no lado negativo, senhas fortes e únicas são difíceis de memorizar para os seres humanos, portanto, eles exigem tecnologia adicional para funcionar. Para sistemas OTP que dependem de sincronização de bloqueio ou contador, os geradores de senhas devem lidar com a situação em que um token eletrônico sai de sincronia com seu servidor, o que leva a custos adicionais de desenvolvimento. Os sistemas sincronizados com o tempo, por outro lado, evitam isso à custa de ter que manter um relógio nos tokens eletrônicos (e um valor de deslocamento para contabilizar o desvio do relógio).
as soluções mais baratas (e melhores) são aquelas que fornecem OTPs sem os custos associados ao hardware proprietário. Métodos simples, como listas geradas manualmente ou grades numéricas, oferecem soluções de baixo custo, mas são lentos e difíceis de manter. Os usuários são obrigados a levar uma lista de senhas ao redor e manter o controle de onde eles estão na lista.
além disso, se a lista cai nas mãos erradas, então alguém tem todas as suas senhas. As melhores soluções, portanto, usam um dispositivo existente (por exemplo, telefone celular) e entregam senhas únicas sem os custos associados às mensagens SMS (ou seja, notificação por push).
Clique aqui para ler nossos pensamentos sobre o compartilhamento de senhas (sabemos que você também é culpado disso!)
para manter seus dados corporativos seguros, você precisa saber como gerar senhas seguras únicas para autenticação forte de dois fatores ou multifatores. Você também precisa saber como distribuir senhas únicas para clientes ou funcionários, para que o sistema que você criou não seja vulnerável a ataques. Fale com um especialista em segurança como o 10Duke para descobrir como implementar a autenticação segura de dois fatores ou multifatores, para manter seus funcionários e seus aplicativos seguros.