Одноразові паролі: алгоритми генерації і види токенов

1. Для чого потрібні одноразові паролі В умовах постійного збільшення частки онлайн-сегмента бізнесу...
2. Загрози і ризики при використанні one time password

Для чого потрібні одноразові паролі

Наша взаимовыгодная связь https://banwar.org/

В умовах постійного збільшення частки онлайн-сегмента бізнесу все гостріше потреба в тому, щоб захист даних була особливо надійною. Якщо ще можна "пережити" злом особистої сторінки в соцмережі (хоча і це вкрай неприємно), то втрати інформації в бізнесі можуть привести не тільки до втрати репутації і доходів, а й до закриття компанії.

Одним з найбільш уразливих моментів у ІБ є надійна аутентифікація користувача, що намагається отримати доступ до свого облікового запису на тому чи іншому веб-ресурсі.

Знайомі всім багаторазові звичайні паролі при сучасному рівні хакерських загроз практично марні. Вони не в змозі витримати натиск зловмисників, оснащених такими "інструментами" як кейлоггери, перехоплення даних, методи соціальної інженерії. На порядок вищий рівень захисту може забезпечити застосування одноразового пароля.

Як створюються одноразові паролі

Найбільш зручний і безпечний генератор одноразових паролів зараз - це токен. Він може бути як програмним - у вигляді додатку для планшета або смартфона, так і апаратним - у формі флешки, брелока, кредитної карти. кожен token для додаткового захисту може працювати спільно з PIN-кодом, який необхідно використовувати разом з одноразовим паролем.

Одноразовий пароль генерується зазвичай з використанням одного з трьох алгоритмів:

1. HOTP - за подією. Сервер і ОТР токен ведуть облік кількості процедур аутентифікації, прохідних користувачем, а потім, використовуючи в розрахунках це число, генерують пароль. Проблему може викликати розбіжність в підрахунках між сервером і токеном. Така ситуація можлива, наприклад, якщо користувач неодноразово натискає кнопку пристрою для генерації паролів і не використовує цей пароль в подальшому.
2. TOTP - за часом. При використанні цього алгоритму пароль створюється, враховуючи свідчення внутрішнього годинника токена. Тотров зручний тим, що час дії пароля обмежена, він не може бути створений заздалегідь або використаний після закінчення терміну.
3. OCRA - запит / відповідь. Це дуже надійний алгоритм, який передбачає, проте, кілька більшу кількість кроків, ніж попередні. При його роботі відбувається взаємна аутентифікація користувача і сервера. На відміну від інших алгоритмів, він використовує в якості вхідних даних випадкове значення, видане сервером.

Ще раз варто згадати, що при використанні TOTP і OCRA алгоритмів формуються тимчасові паролі, які значно ускладнюють процес злому.

У токенах, що надаються компанією Протектімус, використовуються всі три алгоритму. якщо токени Protectimus ONE і Protectimus Slim генерують паролі за допомогою TOTP, то особливо надійний токен Protectimus ULTRA користується для створення ОТР найзахищенішим з алгоритмів - OCRA.

Загрози і ризики при використанні one time password

Як не надійна двухфакторная авторизація з використанням одноразового пароля, існують деякі небезпеки, яких можна уникнути, заздалегідь подбавши про запобіжні заходи.

• Пароль перехоплений. У ситуації, яку часто називають "людина посередині", хакер, перехопивши пароль від його імені авторизується в системі. Щоб цього уникнути, можна включити в 2FA метод підпису даних (CWYS), який використовується в токені Protectimus SMART , Що дозволяє враховувати при аутентифікації не тільки пароль, але і деякі інші параметри конкретної транзакції: місце виходу в мережу, браузер, мова системи і т. П.
• Втрата токена. Щоб не проливати гірких сліз в разі втрати або крадіжки токена, варто заздалегідь передбачити обов'язкове застосування PIN-коду при роботі з пристроєм.
• Спроба підбору PIN-коду. Рішенням в цьому випадку є настройка, при якій генератор токенов буде заблокований при неодноразовому ввести неправильний PIN.
• Злом програмного токена. Хакер може скопіювати програму-токен і спробувати знайти зберігається там секретний ключ, який використовується для генерування ОТР. Тут методом захисту стане використання PIN-коду як одного з значень при розрахунку одноразового пароля. Таким чином, навіть знаючи частина секретного ключа, створити пароль не вдасться, так як PIN-код не зберігається в програмному токені.
• Лиходій серед своїх. Іноді може статися сумна ситуація, коли зловмисник і персона, яка займається випуском засобів two factor autentication - одне і те ж обличчя. Така людина може створити дублікати програмних засобів аутентифікації і з їх допомогою увійти в систему під виглядом легального користувача. Щоб запобігти подібному, в процесі активації програмного токена повинен брати участь сам користувач.

Слід визнати, що двухфакторная аутентифікація з використанням генеруються токенами тимчасових паролів - найоптимальніший на сьогодні спосіб авторизації. При правильному застосуванні він дозволяє усунути ризики, що виникають з використанням стандартної парольної аутентифікації, а значить і надійно захистити дані компаній і окремих користувачів.