одноразовий пароль

Одноразовий пароль (one time password, OTP) - це пароль, дійсний тільки для одного сеансу аутентифікації. Дія одноразового пароля також може бути обмежене певним проміжком часу. Перевага одноразового пароля в порівнянні зі статичним полягає в тому, що пароль неможливо використовувати повторно. Таким чином, зловмисник, що перехопив дані з успішною сесії аутентифікації, не може використовувати скопійований пароль для отримання доступу до інформації, що захищається інформаційній системі. Використання одноразових паролів саме по собі не захищає від атак, заснованих на активному втручанні в канал зв'язку, який використовується для аутентифікації (наприклад, від атак типу «людина посередині»).

Для створення одноразових паролів використовується генератор одноразових паролів, доступний тільки даному користувачеві. Зазвичай одноразові паролі представлені у вигляді набору цифр і використовуються для доступу до систем дистанційного обслуговування. Це інтернет-банкінг. платіжні системи. внутрішні інформаційні системи організації.

У банківській галузі найбільш поширеним способом надання одноразового пароля служить СМС-повідомлення, яке банк відправляє клієнту, який проводить трансакцію в системі інтернет-банкінгу.

Крім того, одноразові паролі можуть видаватися банком на так званій скретч-карті - пластиковій картці, на якій паролі приховані за стирані покриттям. У цьому випадку клієнт, отримавши вказівку від системи інтернет-банкінгу ввести одноразовий пароль (з певним порядковим номером), стирає покриття поруч з потрібним номером на картці і вводить код в систему.

Практикується, але з часом втрачає актуальність спосіб видачі списку одноразових паролів в банкоматі - на чеку. Як і паролі на скретч-карті, вони мають порядкові номери і вводяться за вказівкою системи інтернет-банкінгу.

Борючись з шахрайством, банки все активніше використовують одноразові паролі не тільки для підтвердження фінансових операцій, але і для початкового входу в систему інтернет-банкінгу.

Деякі системи інтернет-банкінгу пропонують токен - електронний генератор одноразових кодів.

Алгоритми створення OTP зазвичай використовують випадкові числа. Це необхідно, тому що інакше було б легко передбачити наступні паролі на основі знання попередніх. Конкретні алгоритми OTP сильно розрізняються в деталях. Різні підходи до створення одноразових паролів перераховані нижче.

  1. Використовують математичні алгоритми для створення нового пароля на основі попередніх (паролі фактично становлять ланцюжок, і повинні бути використані в певному порядку).
  2. Засновані на тимчасової синхронізації між сервером і клієнтом, що забезпечує пароль (паролі дійсні протягом короткого періоду часу).
  3. Використовують математичний алгоритм, де новий пароль заснований на запиті (наприклад, випадкове число, вибирається сервером або частини вхідного повідомлення) і / або лічильнику.

Інші статті: