parolă unică sau un OTP este o parolă valabilă doar o singură dată. OTPs poate fi utilizat pentru a spori securitatea și a sprijini autentificarea puternică. Acest articol va explica elementele de bază ale OTP-urilor și modul în care acestea pot fi implementate.
astăzi majoritatea rețelelor de întreprinderi necesită doar un nume de utilizator și o parolă statică pentru a accesa date personale și sensibile. Acest tip de autentificare cu un singur factor este foarte convenabil, cu toate acestea, nu este foarte sigur în lumea noastră modernă. Majoritatea oamenilor înțeleg că ar trebui să utilizeze parole unice pentru fiecare cont online. Cu toate acestea, 69% dintre noi folosesc aceeași parolă oricum.
mai mult decât atât, 47% dintre oameni folosesc o parolă care este mai mult de 5 ani și parola cea mai frecvent utilizată, este ‘123456’ – folosit de un uimitor 17% dintre oameni. Ce este și mai rău, un procent de 95% dintre oameni împărtășesc până la 6 parole cu prietenii lor.
chiar dacă utilizatorii dvs. finali sunt buni cu parolele (folosesc o parolă puternică diferită pentru fiecare cont online și nu le scriu niciodată nicăieri), aceștia pot fi totuși compromiși de malware-ul keylogging sau de atacurile man-in-the-middle. Deci, cum vă protejați pe dvs. și pe cele mai valoroase active ale companiei dvs. de igiena slabă a parolei sau de interceptarea electronică? O modalitate este de a utiliza o parolă unică-o parolă de unică folosință care este valabilă doar o singură dată.
ce este o parolă unică?
parolele unice sunt parole care sunt valabile doar pentru o singură sesiune de conectare sau tranzacție, oferind astfel protecție împotriva diferitelor atacuri bazate pe parole, în special a sniffing-ului de parole și a atacurilor de reluare. De obicei, un OTP este o serie de numere sau caractere care sunt generate automat.
pentru ca acest sistem să funcționeze, parola trebuie să se schimbe de fiecare dată când este utilizată, dar trebuie să existe și un fel de sincronizare între parola în continuă schimbare, sistemul informatic sau aplicația utilizată și utilizatorul final. Această sincronizare trebuie, de asemenea, să aibă loc fără a transmite date prin metode nesigure, cum ar fi e-mailul.
cum sunt sincronizate parolele unice?
parolele unice pot fi generate în mai multe moduri și fiecare are compromisuri în ceea ce privește securitatea, confortul și costul.
sincronizarea timpului
o abordare a generării parolelor unice este utilizarea sincronizării timpului. Fiecare utilizator are un jeton personal (care ar putea arăta ca un mic calculator sau un breloc) cu un afișaj care arată un număr care se schimbă ocazional. În interiorul tokenului personal este un ceas care a fost sincronizat cu ceasul de pe serverul de autentificare proprietar. Dispozitivul și serverul de aplicații generează noi OTP-uri bazate pe o versiune numerică a orei curente.
parolele sincronizate în timp nu trebuie întotdeauna să se potrivească perfect și, de obicei, există o fereastră în care vor fi acceptate parole mai vechi sau mai noi. Acest lucru se face pur și simplu pentru că este nevoie de oameni un pic de timp pentru a citi și a intra în OTP, deci, de exemplu, ar fi neobișnuit ca o parolă să se schimbe în fiecare secundă, deoarece utilizatorul final nu ar avea suficient timp pentru a introduce parola înainte de a deveni invalid.
parola în sine este de obicei un hash al timpului curent – de exemplu, 16.43 devine 1643, care este apoi rulat printr-un generator de cod și un proces matematic numit funcție hash (sau cod hash) pentru a genera un cod unic de 10 cifre, care este parola unică.
timpul este, prin urmare, o parte importantă a algoritmului de parole, deoarece generarea de parole noi se bazează pe ‘ora curentă’. În cazul în care ceasurile ajunge prea departe de pas, token-ul nu va genera parole corecte și va trebui să fie resetat. Pentru a evita problema diferitelor fusuri orare, se poate utiliza o marcă de timp Unix, care este un timp Universal coordonat.
Lock-step
a doua metodă implică sistemul informatic și tokenul începând cu același număr partajat (numit seed). De fiecare dată când este generată o nouă parolă, dispozitivul token crește propriul contor intern și, de fiecare dată când vă conectați efectiv, serverul crește și contorul.
este posibil să ieșiți din pas prin generarea de parole care nu sunt utilizate, rezultând că contorul din jeton avansează mai mult decât contorul de pe serverul de aplicații. Cu toate acestea, toleranța este de obicei creată astfel încât lucrurile să poată fi puțin sincronizate, iar serverul (de obicei) se va re-sincroniza automat în cazul în care devine din Pas.
această tehnică OTP se numește blocare-pas sau contra sincronizare, și, deși hardware-ul de proprietate este încă necesară nu suferă de dezavantajul de a avea de a păstra Ceasuri în timp.
OTP bazat pe transmisie
a treia abordare este complet diferită. În loc ca două dispozitive să fie responsabile în mod independent pentru propriile parole (care sunt apoi comparate pentru valabilitate), parolele sunt generate aleatoriu de serverul de autentificare. Deoarece această parolă este complet aleatorie, nu este posibil ca un dispozitiv token să rămână automat în pas, prin urmare OTP trebuie comunicat în mod activ utilizatorului final.
aceste tipuri de parole de unică folosință sunt adesea denumite „SMS-OTP”, deoarece sunt cel mai frecvent trimise prin mesaj text, dar pot fi generate și de o aplicație sau un dispozitiv electronic portabil (numit simbol de securitate) sau, în unele cazuri, pot fi chiar tipărite și trimise prin poștă. Când doriți să vă autentificați, sistemul vă trimite parola și utilizați parola pentru a vă conecta. Unul dintre avantajele uriașe ale acestei metode este că elimină necesitatea de a furniza și menține hardware proprietar.
cum se transmit parolele unice?
parolele unice pot fi comunicate utilizatorilor finali în mai multe moduri și fiecare are compromisuri în ceea ce privește securitatea, comoditatea și costul.
parolă unică prin mesaj SMS
această metodă necesită un serviciu SMS fiabil și de înaltă calitate. Odată ce utilizatorul completează numele de utilizator și parola corecte în timpul autentificării, se declanșează un mesaj text cu un OTP, care este trimis la numărul de telefon mobil înregistrat în contul Utilizatorului. Utilizatorul finalizează apoi procesul de autentificare introducând codul afișat în mesajul SMS în ecranul de conectare al aplicației. Utilizatorilor finali li se permite de obicei o anumită perioadă de timp înainte de expirarea parolei.
parolă unică prin voce
o alternativă la SMS este vocea, care folosește un telefon fix sau mobil existent pentru a primi o parolă vorbită ca apel telefonic pe telefonul fix sau numărul mobil al utilizatorului. Avantajele acestei metode sunt că parolele nu sunt stocate pe telefonul utilizatorului, plus că vă permite să ajungeți la utilizatori cu vedere limitată. Cu toate acestea, există un cost pe utilizare asociat cu această soluție și necesită un număr fix sau mobil deja stabilit pentru a funcționa.
parolele sunt, de asemenea, limitate la șiruri de caractere scurte, altfel transferul parolei de la apel la ecranul de conectare devine dificil pentru utilizator sau necesită mai multe încercări de a obține o potrivire.
parolă unică prin e-mail
dacă un cont de e-mail este înscris alături de un cont de utilizator, parolele unice pot fi trimise la o adresă de e-mail pentru autentificare în timpul autentificării. Livrarea prin e-mail pentru parole unice este o opțiune rentabilă, cu toate acestea, securitatea și utilitatea pot fi sacrificate. E-mailul nu a fost destinat să fie centrul vieții noastre digitale în modul în care este acum, așa că nu a fost conceput având în vedere securitatea sau confidențialitatea.
91% din toate atacurile cibernetice încep cu e-mailul și este metoda cea mai puțin sigură pentru autentificarea cu doi factori. De asemenea, depinde de faptul că utilizatorii au acces constant la un cont de e-mail. Utilizatorii pot suporta, de asemenea, cereri de resetare a parolei și time-Out-uri în timp ce încearcă să acceseze contul lor de e-mail pentru a avea acces la OTP.
parolă unică prin post
un sistem bazat pe poștă funcționează în esență în același mod ca și alte sisteme de mesagerie, dar parola durează mai mult pentru a fi comunicată utilizatorului final. Prin urmare, valabilitatea parolei este extinsă pentru a permite întârzieri în tranzit. Unele bănci vor trimite liste lungi tipărite cu parole unice (numite numere de autentificare a tranzacțiilor sau tan-uri), organizațiilor pentru a le utiliza în Business banking. Banca are o listă de potrivire de parole stocate pe sistemul său informatic și parolele trebuie să fie utilizate în ordine pentru a asigura o potrivire.
listele și grilele numerice oferă soluții rentabile pentru OTP-uri, dar sunt lente și nu foarte ușor de utilizat. Utilizatorul trebuie să mențină o listă de parole care de multe ori trebuie să fie utilizate în ordine, plus în cazul în care lista de parole este copiat sau cade în mâini greșite, le cineva are toate parolele.
parola unică prin notificare Push
parolele unice prin Push sunt similare cu parolele unice bazate pe SMS, cu toate acestea, de data aceasta parola generată automat este trimisă ca notificare push către o aplicație de pe dispozitivul utilizatorului. Odată ce Notificarea push a fost trimisă aplicației, utilizatorul copiază codul pe ecranul de conectare pentru a-și verifica identitatea. Push notification este soluția cea mai rentabilă, deoarece utilizează un dispozitiv existent (de exemplu, dispozitivul mobil al utilizatorilor) și nu suportă costurile de mesagerie SMS.
este, de asemenea, una dintre cele mai sigure soluții, plus ușor de utilizat. Cu telefoanele mobile moderne, puteți include chiar și un al treilea factor de autentificare, cum ar fi o Scanare biometrică (de exemplu, scanarea amprentelor digitale) pentru a asigura o securitate foarte strânsă. Dezavantajele sunt destul de minime – notificările push necesită o aplicație dedicată, iar accesul la aplicație este supus pierderii telefonului mobil.
parola hibridă unică (cea mai bună din ambele lumi)
puteți combina punctele forte ale mesajelor SMS și push și puteți utiliza un sistem hibrid. Parola este trimisă inițial prin notificare push, care este rapidă și rentabilă, dar dacă utilizatorul dvs. nu are aplicația instalată sau este offline, parola poate fi trimisă prin SMS. Ai putea adăuga, de asemenea, o a treia opțiune de rezervă de a avea parola livrate prin voce dacă împinge și SMS-uri au eșuat din anumite motive.
metoda implicită de livrare a parolei poate fi cea mai eficientă în menținerea costurilor scăzute, dar utilizând o soluție hibridă vă asigurați că utilizatorii pot avea întotdeauna acces la aplicația dvs., ceea ce, la rândul său, promovează o mai bună implicare a aplicației.
un OTP poate oferi o securitate excelentă și o autentificare puternică.
concluzie
utilizatorul mediu de afaceri are 191 de parole și tastează în medie 8 parole diferite pe zi. Cel mai adesea, acest lucru duce la utilizatorii finali, fie folosind aceleași parole pentru mai multe conturi, scris parolele lor în jos pe post-it note sau bombardarea helpdesk IT cu cereri de resetare a parolei-în medie, cererile de resetare a parolei reprezintă 10% -30% din toate apelurile helpdesk IT.
autentificarea cu doi factori este deosebit de importantă atunci când vine vorba de protejarea datelor întreprinderii împotriva criminalității informatice și a fraudei. Cel mai important avantaj abordat de OTPs este că, spre deosebire de parolele statice, acestea nu sunt vulnerabile la atacurile de reluare.
autentificarea cu doi factori (sub formă de parole unice), întărește un ID de utilizator tradițional și un sistem de parole statice prin adăugarea unei alte acreditări dinamice. Chiar dacă utilizatorii dvs. folosesc aceeași parolă (sau similară) pentru fiecare sistem, Sistemul dvs. este mai puțin vulnerabil, deoarece este puțin probabil ca ambele straturi de securitate să fie compromise de un hacker.
există și un al treilea factor disponibil, de ex. amprentele digitale, scanarea retinei, imprimarea vocală, recunoașterea feței etc., care pot fi utilizate pentru a adăuga un alt strat de securitate. Este evident motivul că mai mulți factori care sunt necesare pentru a autentifica, mai sigure sistemele vor fi.
Faceți clic aici pentru ghidul nostru privind autentificarea puternică a clienților (SCA), o cerință pentru plățile online până la sfârșitul anului 2020.
în dezavantaj, parolele puternice unice sunt dificil de memorat pentru ființele umane, prin urmare, necesită o tehnologie suplimentară pentru a funcționa. Pentru sistemele OTP care se bazează pe sincronizare în trepte de blocare sau contra, generatoarele de parole trebuie să facă față situației în care un jeton electronic se deplasează în afara sincronizării cu serverul său, ceea ce duce la costuri suplimentare de dezvoltare. Sistemele sincronizate în timp, pe de altă parte, evită acest lucru în detrimentul necesității de a menține un ceas în jetoanele electronice (și o valoare offset pentru a ține cont de driftul ceasului).
cele mai ieftine (și cele mai bune) soluții sunt cele care livrează OTP-uri fără costurile asociate cu hardware-ul proprietar. Metodele Simple, cum ar fi listele generate manual sau rețelele numerice, oferă soluții cu costuri reduse, dar sunt lente și dificil de întreținut. Utilizatorii sunt obligați să efectueze o listă de parole în jurul și ține evidența în cazul în care acestea sunt în listă.
Plus, în cazul în care lista cade în mâini greșite, atunci cineva are toate parolele. Prin urmare, cele mai bune soluții utilizează un dispozitiv existent (de exemplu, telefonul mobil) și livrează parole unice fără costurile asociate cu mesageria SMS (adică Notificarea push).
Click aici pentru a citi gândurile noastre despre partajarea parolelor (știm că și tu ești vinovat de asta!)
pentru a vă păstra datele corporative în siguranță, trebuie să știți cum să generați parole sigure unice pentru o autentificare puternică cu doi sau mai mulți factori. De asemenea, trebuie să știți cum să distribuiți parole unice clienților sau angajaților, astfel încât sistemul pe care l-ați creat să nu fie vulnerabil la atacuri. Discutați cu un expert în securitate precum 10Duke pentru a afla cum să implementați autentificarea securizată cu doi factori sau multi-factori, pentru a vă menține angajații și aplicațiile în siguranță.