- Для чого потрібні одноразові паролі В умовах постійного збільшення частки онлайн-сегмента бізнесу...
- Загрози і ризики при використанні one time password
Для чого потрібні одноразові паролі
Наша взаимовыгодная связь https://banwar.org/
В умовах постійного збільшення частки онлайн-сегмента бізнесу все гостріше потреба в тому, щоб захист даних була особливо надійною. Якщо ще можна "пережити" злом особистої сторінки в соцмережі (хоча і це вкрай неприємно), то втрати інформації в бізнесі можуть привести не тільки до втрати репутації і доходів, а й до закриття компанії.
Одним з найбільш уразливих моментів у ІБ є надійна аутентифікація користувача, що намагається отримати доступ до свого облікового запису на тому чи іншому веб-ресурсі.
Знайомі всім багаторазові звичайні паролі при сучасному рівні хакерських загроз практично марні. Вони не в змозі витримати натиск зловмисників, оснащених такими "інструментами" як кейлоггери, перехоплення даних, методи соціальної інженерії. На порядок вищий рівень захисту може забезпечити застосування одноразового пароля.
Як створюються одноразові паролі
Найбільш зручний і безпечний генератор одноразових паролів зараз - це токен. Він може бути як програмним - у вигляді додатку для планшета або смартфона, так і апаратним - у формі флешки, брелока, кредитної карти. кожен token для додаткового захисту може працювати спільно з PIN-кодом, який необхідно використовувати разом з одноразовим паролем.
Одноразовий пароль генерується зазвичай з використанням одного з трьох алгоритмів:
- HOTP - за подією. Сервер і ОТР токен ведуть облік кількості процедур аутентифікації, прохідних користувачем, а потім, використовуючи в розрахунках це число, генерують пароль. Проблему може викликати розбіжність в підрахунках між сервером і токеном. Така ситуація можлива, наприклад, якщо користувач неодноразово натискає кнопку пристрою для генерації паролів і не використовує цей пароль в подальшому.
- TOTP - за часом. При використанні цього алгоритму пароль створюється, враховуючи свідчення внутрішнього годинника токена. Тотров зручний тим, що час дії пароля обмежена, він не може бути створений заздалегідь або використаний після закінчення терміну.
- OCRA - запит / відповідь. Це дуже надійний алгоритм, який передбачає, проте, кілька більшу кількість кроків, ніж попередні. При його роботі відбувається взаємна аутентифікація користувача і сервера. На відміну від інших алгоритмів, він використовує в якості вхідних даних випадкове значення, видане сервером.
Ще раз варто згадати, що при використанні TOTP і OCRA алгоритмів формуються тимчасові паролі, які значно ускладнюють процес злому.
У токенах, що надаються компанією Протектімус, використовуються всі три алгоритму. якщо токени Protectimus ONE і Protectimus Slim генерують паролі за допомогою TOTP, то особливо надійний токен Protectimus ULTRA користується для створення ОТР найзахищенішим з алгоритмів - OCRA.
Загрози і ризики при використанні one time password
Як не надійна двухфакторная авторизація з використанням одноразового пароля, існують деякі небезпеки, яких можна уникнути, заздалегідь подбавши про запобіжні заходи.
- Пароль перехоплений. У ситуації, яку часто називають "людина посередині", хакер, перехопивши пароль від його імені авторизується в системі. Щоб цього уникнути, можна включити в 2FA метод підпису даних (CWYS), який використовується в токені Protectimus SMART , Що дозволяє враховувати при аутентифікації не тільки пароль, але і деякі інші параметри конкретної транзакції: місце виходу в мережу, браузер, мова системи і т. П.
- Втрата токена. Щоб не проливати гірких сліз в разі втрати або крадіжки токена, варто заздалегідь передбачити обов'язкове застосування PIN-коду при роботі з пристроєм.
- Спроба підбору PIN-коду. Рішенням в цьому випадку є настройка, при якій генератор токенов буде заблокований при неодноразовому ввести неправильний PIN.
- Злом програмного токена. Хакер може скопіювати програму-токен і спробувати знайти зберігається там секретний ключ, який використовується для генерування ОТР. Тут методом захисту стане використання PIN-коду як одного з значень при розрахунку одноразового пароля. Таким чином, навіть знаючи частина секретного ключа, створити пароль не вдасться, так як PIN-код не зберігається в програмному токені.
- Лиходій серед своїх. Іноді може статися сумна ситуація, коли зловмисник і персона, яка займається випуском засобів two factor autentication - одне і те ж обличчя. Така людина може створити дублікати програмних засобів аутентифікації і з їх допомогою увійти в систему під виглядом легального користувача. Щоб запобігти подібному, в процесі активації програмного токена повинен брати участь сам користувач.
Слід визнати, що двухфакторная аутентифікація з використанням генеруються токенами тимчасових паролів - найоптимальніший на сьогодні спосіб авторизації. При правильному застосуванні він дозволяє усунути ризики, що виникають з використанням стандартної парольної аутентифікації, а значить і надійно захистити дані компаній і окремих користувачів.