Одноразовый пароль
Одноразовый пароль ( OTP ), также известный как одноразовый PIN-код , одноразовый код авторизации ( OTAC ) или динамический пароль , — это пароль, который действителен только для одного сеанса входа или транзакции в компьютерной системе или другом месте. цифровое устройство. OTP позволяют избежать нескольких недостатков, связанных с традиционной (статической) аутентификацией на основе пароля; ряд реализаций также включают двухфакторную аутентификацию , гарантируя, что для одноразового пароля требуется доступ к чему-то, что есть у человека (например, к небольшому брелку со встроенным калькулятором OTP, смарт-карте или конкретному мобильному телефону), а также в качествечто-то известное человеку (например, PIN-код).
Алгоритмы генерации одноразовых паролей обычно используют псевдослучайность или случайность для создания общего ключа или начального числа, а также криптографические хэш-функции , которые можно использовать для получения значения, но которые трудно обратить вспять, и поэтому злоумышленнику трудно получить данные, которые использовались для хэш. Это необходимо, потому что в противном случае было бы легко предсказать будущие одноразовые пароли, наблюдая за предыдущими.
OTP обсуждались как возможная замена традиционных паролей, а также их расширение. С другой стороны, одноразовые пароли могут быть перехвачены или перенаправлены, а аппаратные токены могут быть утеряны, повреждены или украдены. Многие системы, использующие одноразовые пароли, реализуют их небезопасно, и злоумышленники все равно могут узнать пароль с помощью фишинговых атак , чтобы выдать себя за авторизованного пользователя. [1]
Наиболее важным преимуществом одноразовых паролей является то, что, в отличие от статических паролей, они не уязвимы для повторных атак . Это означает, что потенциальный злоумышленник, сумевший записать OTP, который уже использовался для входа в сервис или для проведения транзакции, не сможет его использовать, так как он уже недействителен. [1] Вторым важным преимуществом является то, что пользователь, который использует один и тот же (или похожий) пароль для нескольких систем, не становится уязвимым для всех из них, если злоумышленник получает пароль для одной из них. Ряд систем OTP также нацелены на то, чтобы сеанс нельзя было легко перехватить или олицетворить без знания непредсказуемых данных, созданных во время предыдущего сеанса, тем самым уменьшая поверхность атаки .дальше.
Существуют также различные способы информирования пользователя о следующем одноразовом пароле. В некоторых системах используются специальные электронные токены безопасности , которые носит с собой пользователь, которые генерируют одноразовые пароли и отображают их на небольшом дисплее. Другие системы состоят из программного обеспечения, которое работает на мобильном телефоне пользователя . Другие системы генерируют одноразовые пароли на стороне сервера и отправляют их пользователю по внешнему каналу, такому как обмен SMS - сообщениями. Наконец, в некоторых системах одноразовые пароли печатаются на бумаге, которую пользователь должен иметь при себе.
В некоторых схемах математических алгоритмов пользователь может предоставить серверу статический ключ для использования в качестве ключа шифрования, отправив только одноразовый пароль. [2]
