Egyszeri jelszó 1
Egyszer használatos jelszó (angol egyszeri jelszó, az OTP.) - egy jelszót. érvényes, egy hitelesítési ülésén. Hatása egyszeri jelszót is csak egy bizonyos ideig.
egyszeri jelszót előnyt statikus, hogy a jelszót nem lehet újra felhasználni. Így egy támadó eltérítette az adatokat a hitelesítés sikeres volt, az ülés nem használhatja a másolt jelszót, hogy hozzáférjen a védett információs rendszer. Használata egyszeri jelszavakat önmagában nem véd a támadások alapuló aktív beavatkozás a kommunikációs csatornát használják azonosításra (például írja: „man in the middle„támadás).
Az ember nem képes emlékezni az egyszeri jelszavakat. Ezért további technológiák a megfelelő működéshez.
Módszerek létrehozása és terjesztése OTP
Létrehozása OTP algoritmusok tipikusan véletlen számokat. Erre azért van szükség, mert különben nem lenne könnyű megjósolni a következő jelszavakat a korábbi ismeretek alapján. Algoritmusok OTP nagyban részletesen. Különböző megközelítések létrehozása egyszeri jelszavak listája alább látható.
- Matematikai algoritmusok új jelszót alapján a korábbi (jelszavak valójában alkotják a láncot, és fel kell használni egy meghatározott sorrendben).
- Ennek alapján a időzítésszinkronizálást a szerver és a kliens, amely a jelszót (érvényes rövid ideig)
- Matematikai algoritmus alkalmazásával, ahol egy új jelszót a kérelem alapján (például egy véletlen szám által kiválasztott kiszolgáló vagy a bejövő üzenet) és / vagy számláló.
matematikai algoritmusok
Az egyik megközelítés által kifejlesztett Leslie Lamport. Ez használ egy egyirányú függvény (nevezzük f). egyszeri jelszót a rendszer indul a mag s. majd generál jelszavakat
ahányszor szükséges. Ha keres egy végtelenített sorozat jelszavakat, új mag lehet kiválasztani után egy sor s kimerült. Mindegyik jelszó eloszlik a fordított sorrendben, kezdve f (f (... f (s)) ...), befejezve f (s).
Ha egy támadó sikerül kap egy egyszeri jelszót, csak akkor lehet hozzáférni egy ideig, vagy egy kapcsolat, de haszontalanná válik, ha ez az időszak vége. Ahhoz, hogy a következő jelszót egy sor korábbiak, meg kell találni a módját, hogy kiszámítja az inverz függvényt f -1. Mivel f választották egyoldalú, akkor csináld lehetetlen. Ha f - kriptográfiai hash függvény. amely általánosan használt, amennyire tudjuk, ez lesz számítási lehetetlen feladat.
Az idő szinkronizálása
Időszinkronizáltak egyszeri jelszavak általában társított fizikai hardver token (például minden felhasználó számára személyre token, amely létrehoz egy egyszeri jelszó). Belül token beépített pontosabb órák, amelyek szinkronban vannak az óra a szerveren. Ezek OTP idejű rendszerek fontos részét képezi az algoritmus, hozzon létre egy jelszót, mert a generáció egy új jelszót az aktuális időt, semmint az előző jelszót, vagy egy titkos kulcsot.
Nemrégiben vált be lehet ágyazni elektronikus alkatrészek kapcsolódó állandó token-óráig, így például ActivIdentity, Incard, RSA. SafeNet. Vasco, a VeriSign és Protectimus, a forma tényező egy hitelkártya. Azonban, mivel a vastagsága a kártya (0,79 mm-0.84mm) nem teszi lehetővé a hagyományos elemek az elemek, akkor szükséges speciális elemeket, polimer alapú, melynek élettartama sokkal több, mint egy hagyományos mini-elemeket. Ezen kívül meg kell alkalmazni rendkívül alacsony fogyasztású félvezetők energia-megtakarítás készenléti és / vagy a termék használatát. A termelés vékony eszközök OTP vezető két vállalat: Identita és NagraID.
Az egyszeri jelszó kérés a felhasználónak, hogy a szinkronizált időt kéri, hogy hitelesítette. Ezt meg lehet tenni egy érték beírásával önmagában jelzőt. Annak elkerülése érdekében, ismétlődő, tipikusan egy további számláló, így ha véletlenül kap két identikus lekérdezések, akkor is kialakulásához vezet a különböző egyszeri jelszavakat. Azonban a számítások Általában nem tartalmaznak az előző alkalommal jelszóra, mivel ez vezet a szinkronizációs problémák. EMV kezdődik az ilyen rendszerek alkalmazása (azaz. N. «Chip hitelesítés Program») a bankkártyák Európában.
Egyszeri jelszót SMS-ben
Ugyanakkor, egyszeri jelszavak SMS lehetnek kevésbé biztonságos, mivel a mobilszolgáltatók részévé vált a bizalmi láncot. Ha megengedett roaming funkciót, meg kell bízni több mobilszolgáltató (egyes esetekben az összes szervezeteket arra, hogy az SS7 jelzésrendszer).
Azoknál a rendszereknél, támaszkodnak az elektronikus jelzőt, nincsenek szinkronban idején a rendszer, meg kell oldani a problémát, ha a szerver és a token kóbor szinkronizálást. Ez vezet a további fejlesztési költségek. Másrészt, lehetővé teszik, hogy elkerüljék a költségek az óra az elektronikus jelzőt (és azok korrekciós értékeket figyelembe véve az időbeli eltolódás).
Bár az egyszeri jelszavak biztonságosabbak, mint a hagyományos jelszavak használata OTP rendszerek még mindig érzékeny a „man in the middle” támadásokat. Ezért egyszeri jelszavak nem kell küldeni egy harmadik félnek. Akár egyszeri jelszó szinkronizálva, alapvetően nem befolyásolja a kiszolgáltatottság mértéke. A kérelem alapján az egyszeri jelszavakat sérülékenyek is, bár egy sikeres támadás csak a támadó egy kicsit több akció, mint más típusú OTP.
A szabadalmaztatott sor OTP technológia. Ez teszi a szabványosítás ezen a területen még nehezebb, mert minden cég igyekszik nyomni a saját technológiáját. Azonban, szabványok léteznek, például RFC 1760 (S / Key), RFC 2289 (OTP), RFC 4226 (HOTP) és az RFC 6238 (TOTP).
Az OTP a banki
Egyes országokban, egyszeri jelszavak használt távoli használatra bankok. Néhány ilyen rendszerekben a bank küld a felhasználónak, hogy a számozott listát az egyszeri jelszavakat, papírra nyomtatott. Minden tranzakció a távoli felhasználónak be kell írnia a megfelelő egyszeri jelszót a listából. Németországban ezeket a jelszavakat általában nevezik TAN-kód (az «tranzakció hitelesítés szám»). Egyes bankok Levél TAN-kódokat a felhasználó SMS-ben, és ebben az esetben hívják őket mTAN-kód (a «mobil barnul»).
Leggyakrabban, egyszeri jelszavak a megtestesítője a kéttényezős hitelesítést. Néhány SSO [5] rendszerek használata egyszeri jelszavak. OTP technológiát is alkalmazzák a biztonsági kódját.