13:07 Одноразовый пароль | |
Одноразовый пароль ( OTP ), также известный как одноразовый пин-код или динамический пароль , - это пароль, который действителен только для одного сеанса или транзакции входа в систему в компьютерной системе или другом цифровом устройстве. OTP позволяют избежать ряда недостатков, связанных с традиционной (статической) аутентификацией на основе паролей; ряд реализаций также включает двухфакторную аутентификацию , гарантируя, что одноразовый пароль требует доступа к тому, что есть у человека (например, к небольшому брелковому устройству со встроенным в него OTP-калькулятором, или к смарт-карте или конкретному мобильному телефону) как что-то, что человек знает (например, PIN-код). Наиболее важным преимуществом, с которым обращаются OTP, является то, что, в отличие от статических паролей , они не уязвимы для атак воспроизведения . Это означает, что потенциальный злоумышленник, которому удастся записать OTP, который уже использовался для входа в службу или проведения транзакции, не сможет злоупотребить ею, поскольку он больше не будет действительным. Второе важное преимущество заключается в том, что пользователь, который использует один и тот же (или похожий) пароль для нескольких систем, не становится уязвимым на всех из них, если злоумышленник получает пароль для одной из них. Ряд систем OTP также направлены на то, чтобы гарантировать, что сеанс не может быть легко перехвачен или олицетворен без знания непредсказуемых данных, созданных во время предыдущего сеанса, таким образом уменьшая поверхность атаки в дальнейшем. Протоколы OTP обсуждались в качестве возможной замены традиционных паролей и их улучшения. С другой стороны, OTP трудно запомнить людям. Поэтому им требуются дополнительные технологии для работы Алгоритмы генерации OTP обычно используют псевдослучайность или случайность , затрудняя предсказание злоумышленника последующих OTP , а также хеш-функции , которые можно использовать для получения значения, но их трудно повернуть, и поэтому злоумышленнику трудно получить данные, которые был использован для хэша. Это необходимо, потому что в противном случае было бы легко предсказать будущие OTP, наблюдая предыдущие. Конкретные алгоритмы OTP сильно различаются по своим деталям. Различные подходы для генерации OTP перечислены ниже: На основе синхронизации времени между сервером аутентификации и клиентом, предоставляющим пароль (OTP действительны только в течение короткого периода времени) Использование математического алгоритма для генерации нового пароля на основе предыдущего пароля (OTP фактически являются цепочкой и должны использоваться в предопределенном порядке). Использование математического алгоритма, в котором новый пароль основан на запросе (например, случайном числе, выбранном сервером аутентификации или деталях транзакции) и / или счетчике. Существуют также различные способы информирования пользователя о следующем используемом OTP. Некоторые системы используют специальные электронные токены безопасности, которые несет пользователь, которые генерируют OTP и показывают их с помощью небольшого дисплея. Другие системы состоят из программного обеспечения, которое работает на мобильном телефоне пользователя . Тем не менее, другие системы генерируют OTP на стороне сервера и отправляют их пользователю по внеполосному каналу, такому как обмен сообщениями SMS . Наконец, в некоторых системах ОТП печатаются на бумаге, которую должен нести пользователь. Синхронизированный по времени OTP обычно связан с частью оборудования, называемой токеном безопасности (например, каждому пользователю предоставляется персональный токен, который генерирует одноразовый пароль). Это может выглядеть как маленький калькулятор или брелок с ЖК-дисплеем, который показывает число, которое время от времени меняется. Внутри токена находятся точные часы, которые были синхронизированы с часами на проприетарном сервере аутентификации . В этих системах OTP время является важной частью алгоритма паролей, поскольку генерация новых паролей основывается на текущем времени, а не на предыдущем пароле или секретном ключе или в дополнение к нему . Этот токен может быть проприетарным устройством или мобильным телефоном или аналогичныммобильное устройство, которое запускает программное обеспечение, которое является проприетарным, бесплатным или с открытым исходным кодом . Примером синхронизированного по времени стандарта OTP является основанный на времени алгоритм одноразового пароля (TOTP) . Некоторые приложения могут использоваться для синхронизации времени OTP, например, Google Authenticator и менеджер паролей . Все методы доставки OTP ниже могут использовать синхронизацию времени вместо алгоритмов. Каждый новый OTP может быть создан из прошлых использованных OTP. Пример алгоритма этого типа, зачисляемый Лесли Лэмпорту , использует одностороннюю функцию (назовите ее f ). Эта система одноразовых паролей работает следующим образом: Семена (начальное значение) ев выбрано. Хэш - функция F ( ы ) применяется повторно (например, 1000 раз) к семенам, что дает значение: F ( F ( F (.... е ( ов ) ....))). Это значение, которое мы будем называть f 1000 ( s ), сохраняется в целевой системе. Первый логин пользователя использует пароль p, полученный путем применения f 999 раз к начальному числу, то есть f 999 ( s ). Целевая система может аутентифицировать, что это правильный пароль, потому что f ( p ) равно f 1000 ( s ), что является сохраненным значением. Сохраненное значение затем заменяется на p, и пользователю разрешается входить в систему. Следующий логин, должен сопровождаться f 998 ( s ). Опять же, это может быть проверено, потому что хеширование дает f 999 ( s ), то есть p , значение, сохраненное после предыдущего входа в систему. Опять же, новое значение заменяет p, и пользователь проходит аутентификацию. Это может быть повторен еще 997 раз, каждый раз , когда пароль будет е применяется один раз меньше, и проверяется путем проверки , что , когда хэшируются, это дает значение , хранящееся во время предыдущего входа в систему . Хеш - функции предназначены , чтобы быть чрезвычайно трудно отменить, поэтому злоумышленник должен был бы знать начальное семя s вычислить возможные пароли, в то время как компьютерная система может подтвердить пароль на любой случай действует, проверив , что, когда хэшируются, его дает значение, ранее использованное для входа в систему. Если требуется неопределенная серия паролей, новое исходное значение может быть выбрано после исчерпания набора для s . Чтобы получить следующий пароль в ряду из предыдущих паролей, необходимо найти способ вычисления обратной функции f −1 . Поскольку f был выбран как односторонний, это чрезвычайно трудно сделать. Если f - криптографическая хеш-функция , которая, как правило, имеет место, предполагается, что она является вычислительно неразрешимой задачей. Злоумышленник, увидевший одноразовый пароль, может иметь доступ на один период времени или войти в систему, но он становится бесполезным после истечения этого периода. Система одноразовых паролей S / KEY и ее производная OTP основаны на схеме Лампорта. В некоторых схемах математических алгоритмов пользователь может предоставить серверу статический ключ для использования в качестве ключа шифрования, отправив только одноразовый пароль. Использование одноразовых паролей « запрос-ответ» требует от пользователя предоставления ответа на вызов. Например, это можно сделать, введя значение, сгенерированное токеном, в сам токен. Чтобы избежать дублирования, обычно используется дополнительный счетчик, поэтому, если один и тот же вызов получен дважды, это все равно приводит к разным одноразовым паролям. Однако вычисление не обычно включают предыдущий одноразовый пароль; то есть обычно используется тот или иной алгоритм, а не оба алгоритма. Методы доставки OTP, основанные на токене, могут использовать любой из этих типов алгоритмов вместо синхронизации по времени. | |
|
Всього коментарів: 0 | |