engångslösenord eller ett OTP är ett lösenord som bara är giltigt en gång. OTP: er Kan användas för att förbättra säkerheten och stödja stark autentisering. Denna artikel kommer att förklara grunderna för OTP: er och hur de kan implementeras.
idag kräver de flesta företagsnätverk bara ett användarnamn och statiskt lösenord för att få tillgång till personliga och känsliga data. Denna typ av enfaktorautentisering är väldigt bekväm, men det är inte särskilt säkert i vår moderna värld. De flesta förstår att de ska använda unika lösenord för varje onlinekonto. Ändå använder 69% av oss samma lösenord ändå.
dessutom använder 47% av människor ett lösenord som är mer än 5 år gammalt och det vanligaste lösenordet är ’123456’ – används av svindlande 17% av människor. Vad som är ännu värre, en ögonvattnande 95 procent av människor delar upp till 6 lösenord med sina vänner.
även om dina slutanvändare är bra med lösenord (de använder ett annat starkt lösenord för varje onlinekonto och aldrig skriver ner dem någonstans) kan de fortfarande äventyras av keylogging malware eller man-in-the-middle attacker. Så hur skyddar du dig själv och ditt företags mest värdefulla tillgångar från dålig lösenordshygien eller elektronisk avlyssning? Ett sätt är att använda ett engångslösenord-ett engångslösenord som bara är giltigt en gång.
Vad är ett engångslösenord?
engångslösenord är lösenord som endast är giltiga för en inloggningssession eller transaktion, vilket ger skydd mot olika lösenordsbaserade attacker, särskilt lösenordssniffning och återspelningsattacker. Vanligtvis är en OTP en serie siffror eller tecken som genereras automatiskt.
för att detta system ska fungera måste lösenordet ändras varje gång det används, men det måste också finnas någon form av synkronisering mellan det ständigt föränderliga lösenordet, datorsystemet eller applikationen som används och slutanvändaren. Denna synkronisering måste också ske utan att överföra data via osäkra metoder som e-post.
hur synkroniseras engångslösenord?
engångslösenord kan genereras på flera sätt och var och en har avvägningar när det gäller säkerhet, bekvämlighet och kostnad.
tidssynkronisering
ett sätt att generera engångslösenord är att använda tidssynkronisering. Varje användare har en personlig token (som kan se ut som en liten miniräknare eller en nyckelring) med en display som visar ett nummer som ändras ibland. Inuti den personliga token finns en klocka som har synkroniserats med klockan på den proprietära autentiseringsservern. Enheten och applikationsservern genererar båda nya OTP: er baserat på en numerisk version av den aktuella tiden.
Tidssynkroniserade lösenord behöver inte alltid vara en perfekt matchning och vanligtvis finns det ett fönster där äldre eller nyare lösenord accepteras. Detta görs helt enkelt för att det tar människor lite tid att läsa och ange OTP, så det skulle till exempel vara ovanligt att ett lösenord ändras varje sekund, eftersom slutanvändaren inte skulle ha tillräckligt med tid att ange lösenordet innan det blir ogiltigt.
lösenordet i sig är vanligtvis en hash av den aktuella tiden-t.ex. 16.43 blir 1643, som sedan körs genom en kodgenerator och en matematisk process som kallas en hash-funktion (eller hash-kod) för att generera en unik 10-siffrig kod, som är engångslösenordet.
tid är därför en viktig del av lösenordsalgoritmen, eftersom genereringen av nya lösenord baseras på ’aktuell tid’. Om klockorna blir för långt ur steg, kommer token inte att generera korrekta lösenord och måste återställas. För att undvika problemet med olika tidszoner kan en Unix-tidsstämpel användas, vilket är en samordnad universell tid.
Lock-step
den andra metoden involverar datorsystemet och token som börjar med samma delade nummer (kallas ett frö). Varje gång ett nytt lösenord genereras ökar tokenenheten sin egen interna räknare, och varje gång du faktiskt loggar in, ökar servern också sin räknare.
det är möjligt att komma ur steg genom att generera lösenord som inte används, vilket resulterar i räknaren i token framåt mer än räknaren på applikationsservern. Men tolerans skapas vanligtvis så att saker kan vara lite synkroniserade, och servern synkroniseras (vanligtvis) automatiskt om det blir ur steg.
denna OTP-teknik kallas låssteg eller motsynkronisering, och även om proprietär hårdvara fortfarande krävs, lider den inte av nackdelen med att behöva hålla klockor i tid.
Överföringsbaserad OTP
den tredje metoden är helt annorlunda. Istället för att två enheter är oberoende ansvariga för sina egna lösenord (som sedan jämförs för giltighet) genereras lösenord slumpmässigt av autentiseringsservern. Eftersom detta lösenord är helt slumpmässigt är det inte möjligt för en token-enhet att automatiskt stanna i steg, därför måste OTP aktivt kommuniceras till slutanvändaren.
dessa typer av engångslösenord kallas ofta ”SMS-OTP” eftersom de oftast skickas via SMS, men de kan också genereras av en app eller handhållen elektronisk enhet (kallad säkerhetstoken) eller i vissa fall kan de till och med skrivas ut och skickas per post. När du vill autentisera skickar systemet ditt lösenord till dig och du använder lösenordet för att logga in. En av de stora fördelarna med denna metod är att det eliminerar behovet av att tillhandahålla och underhålla proprietär hårdvara.
hur överförs engångslösenord?
engångslösenord kan kommuniceras till slutanvändare på flera sätt och var och en har avvägningar när det gäller säkerhet, bekvämlighet och kostnad.
engångslösenord via SMS
denna metod kräver en pålitlig SMS-tjänst av hög kvalitet. När användaren har slutfört rätt användarnamn och lösenord under inloggningen utlöses ett textmeddelande med en OTP som skickas till det mobilnummer som är registrerat på användarens konto. Användaren slutför sedan autentiseringsprocessen genom att ange koden som visas i SMS-meddelandet i programmets inloggningsskärm. Slutanvändare tillåts vanligtvis en viss tidsperiod innan lösenordet löper ut.
engångslösenord via röst
ett alternativ till SMS är röst, som använder en befintlig fast telefon eller mobiltelefon för att ta emot ett talat lösenord som ett telefonsamtal på användarens fasta eller mobilnummer. Fördelar med denna metod är att lösenord inte lagras på användarens telefon, plus det gör att du kan nå användare med begränsad syn. Det finns dock en kostnad per användning i samband med denna lösning och det kräver en redan etablerad fast telefon eller mobilnummer för att fungera.
lösenord är också begränsade till korta teckensträngar, annars blir det svårt för användaren att överföra lösenordet från samtalet till inloggningsskärmen eller kräver flera försök att få en matchning.
engångslösenord via e-post
om ett e-postkonto registreras tillsammans med ett användarkonto kan engångslösenord skickas till en e-postadress för autentisering under inloggningen. E-postleverans för engångslösenord är ett kostnadseffektivt alternativ, men säkerhet och användbarhet kan offras. E-post var inte avsett att vara centrum för våra digitala liv på det sätt som det är nu, så det var inte utformat med någon säkerhet eller integritet i åtanke.
91% av alla cyberattacker börjar med e-post, och det är den minst säkra metoden för tvåfaktorsautentisering. Det är också beroende av att användare har konsekvent tillgång till ett e-postkonto. Användare kan också medföra lösenordsåterställningsförfrågningar och time-outs när de försöker komma åt sitt e-postkonto för att få tillgång till OTP.
engångslösenord via post
ett postbaserat system fungerar i princip på samma sätt som andra meddelandesystem, men lösenordet tar längre tid att kommuniceras till slutanvändaren. Lösenordets giltighet förlängs därför för att möjliggöra förseningar i transit. Vissa banker skickar långa tryckta listor med engångslösenord (kallade transaktionsautentiseringsnummer eller TANs) till organisationer som de kan använda i affärsbank. Banken har en matchande lista över lösenord lagrade på sitt datorsystem och lösenord måste användas i följd för att säkerställa en matchning.
listor och nummernät erbjuder kostnadseffektiva lösningar för OTP, men de är långsamma och inte särskilt användarvänliga. Användaren måste upprätthålla en lista med lösenord som ofta måste användas i följd, plus om din lista med lösenord kopieras eller hamnar i fel händer, dem någon har alla dina lösenord.
engångslösenord via Push-meddelande
engångslösenord via Push liknar SMS-baserade engångslösenord, men den här gången skickas det automatiskt genererade lösenordet som ett push-meddelande till en App på användarens enhet. När push-meddelandet har skickats till appen kopierar användaren sedan koden till inloggningsskärmen för att verifiera deras identitet. Push notification är den mest kostnadseffektiva lösningen eftersom den använder en befintlig enhet (t.ex. användarnas mobila enhet) och inte medför kostnader för SMS-meddelanden.
det är också en av de säkraste lösningarna, plus dess användarvänliga. Med moderna mobiltelefoner kan du till och med inkludera en tredje autentiseringsfaktor som en biometrisk skanning (t.ex. fingeravtryckssökning) för att säkerställa riktigt snäv säkerhet. Nackdelarna är också ganska minimala-push-meddelanden kräver en dedikerad app och applikationsåtkomst är föremål för mobiltelefonförlust.
Hybrid engångslösenord (det bästa av två världar)
du kan kombinera styrkorna med SMS och push-meddelanden och använda ett hybridsystem. Lösenordet skickas initialt med push-meddelande som är snabbt och kostnadseffektivt, men om din användare inte har din app installerad eller är offline kan lösenordet skickas via SMS. Du kan också lägga till ett tredje reservalternativ för att få lösenordet levererat via röst om push och SMS har misslyckats av någon anledning.
din standardlösenordleveransmetod kan vara vad som är mest effektivt för att hålla dina kostnader nere, men genom att använda en hybridlösning säkerställer du att användare alltid kan få tillgång till din app, vilket i sin tur främjar bättre appengagemang.
en OTP kan ge stor säkerhet och stark autentisering.
slutsats
den genomsnittliga företagsanvändaren har 191 lösenord och skriver i genomsnitt 8 olika lösenord per dag. Oftare än sällan resulterar detta i att dina slutanvändare antingen använder samma lösenord för flera konton, skriver ner sina lösenord på post-it – anteckningar eller bombarderar din IT-helpdesk med lösenordsåterställningsförfrågningar-i genomsnitt utgör lösenordsåterställningsförfrågningar 10% -30% av alla IT-helpdesk-samtal.
tvåfaktorsautentisering är särskilt viktigt när det gäller att skydda företagsdata från cyberbrott och bedrägeri. Den viktigaste fördelen som OTP: er tar upp är att de, i motsats till statiska lösenord, inte är sårbara för återspelningsattacker.
tvåfaktorsautentisering (i form av engångslösenord), härdar ett traditionellt användar-ID och statiskt lösenordssystem genom att lägga till en annan, dynamisk referens. Även om dina användare använder samma (eller liknande) lösenord för varje system, görs ditt system mindre sårbart eftersom det är osannolikt att båda säkerhetslagren skulle äventyras av en hacker.
det finns också en tredje tillgänglig faktor, t. ex. fingeravtryck, retina scan, voiceprint, ansiktsigenkänning, etc, som kan användas för att lägga till ytterligare ett lager av säkerhet. Det är självklart att ju fler faktorer som krävs för att autentisera, desto säkrare kommer dina system att vara.
Klicka här för vår guide om stark kundautentisering (SCA), ett krav för onlinebetalningar i slutet av 2020.
på nackdelen är starka engångslösenord svåra för människor att memorera, därför kräver de ytterligare teknik för att fungera. För OTP-system som är beroende av låssteg eller motsynkronisering måste lösenordsgeneratorer hantera situationen där en elektronisk token driver ut ur synkronisering med sin server, vilket leder till ytterligare utvecklingskostnader. Tidssynkroniserade system, å andra sidan, undviker detta på bekostnad av att behöva behålla en klocka i de elektroniska tokens (och ett förskjutningsvärde för att ta hänsyn till klockdrift).
de billigaste (och bästa) lösningarna är de som levererar OTP: er utan kostnader i samband med proprietär hårdvara. Enkla metoder som manuellt genererade listor eller nummernät erbjuder billiga lösningar, men de är långsamma och svåra att underhålla. Användare måste ha en lista med lösenord runt och hålla reda på var de är i listan.
Plus, om listan hamnar i fel händer har någon alla dina lösenord. De bästa lösningarna använder därför en befintlig enhet (t.ex. mobiltelefon) och levererar engångslösenord utan kostnader i samband med SMS-meddelanden (dvs. push-meddelande).
Klicka här för att läsa våra tankar om lösenordsdelning (vi vet att du är skyldig till detta också!)
för att hålla dina företagsdata säkra måste du veta hur du skapar säkra engångslösenord för stark tvåfaktors-eller multifaktorautentisering. Du måste också veta hur du distribuerar engångslösenord till kunder eller anställda, så att systemet du har skapat inte är sårbart för attacker. Prata med en säkerhetsexpert som 10Duke för att ta reda på hur du implementerar säker tvåfaktors-eller multifaktorautentisering, för att hålla dina anställda och dina applikationer säkra.