Одноразовый пароль

Одноразовый пароль (one time password, OTP) — это пароль, действительный только для одного сеанса аутентификации. Действие одноразового пароля также может быть ограничено определенным промежутком времени. Преимущество одноразового пароля по сравнению со статическим состоит в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе. Использование одноразовых паролей само по себе не защищает от атак, основанных на активном вмешательстве в канал связи, используемый для аутентификации (например, от атак типа «человек посередине»).

Для создания одноразовых паролей используется генератор одноразовых паролей, доступный только данному пользователю. Обычно одноразовые пароли представлены в виде набора цифр и используются для доступа к системам дистанционного обслуживания. Это интернет-банкинг, платежные системы, внутренние информационные системы организации.

В банковской отрасли наиболее распространенным способом предоставления одноразового пароля служит СМС-сообщение, которое банк отправляет клиенту, проводящему трансакцию в системе интернет-банкинга.

Кроме того, одноразовые пароли могут выдаваться банком на так называемой скретч-карте — пластиковой карточке, на которой пароли скрыты за стираемым покрытием. В этом случае клиент, получив указание от системы интернет-банкинга ввести одноразовый пароль (с определенным порядковым номером), стирает покрытие рядом с нужным номером на карточке и вводит код в систему.

Практикуется, но со временем теряет актуальность способ выдачи списка одноразовых паролей в банкомате — на чеке. Как и пароли на скретч-карте, они имеют порядковые номера и вводятся по указанию системы интернет-банкинга.

Борясь с мошенничеством, банки все активнее используют одноразовые пароли не только для подтверждения финансовых операций, но и для первоначального входа в систему интернет-банкинга.

Некоторые системы интернет-банкинга предлагают токен — электронный генератор одноразовых кодов.

Алгоритмы создания OTP обычно используют случайные числа. Это необходимо, потому что иначе было бы легко предсказать последующие пароли на основе знания предыдущих. Конкретные алгоритмы OTP сильно различаются в деталях. Различные подходы к созданию одноразовых паролей перечислены ниже.

  1. Использующие математические алгоритмы для создания нового пароля на основе предыдущих (пароли фактически составляют цепочку, и должны быть использованы в определенном порядке).
  2. Основанные на временной синхронизации между сервером и клиентом, обеспечивающей пароль (пароли действительны в течение короткого периода времени).
  3. Использующие математический алгоритм, где новый пароль основан на запросе (например, случайное число, выбираемое сервером или части входящего сообщения) и/или счетчике.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *