Jak ukazují nedávné studie, jedním z nejzávažnějších problémů společností v oblasti informační bezpečnosti je neoprávněný přístup k počítačovým systémům. Podle průzkumu CSI/FBI Computer Crime and Security Survey 2005 55 % společností loni oznámilo narušení dat. Ve stejném roce navíc společnosti kvůli neoprávněnému přístupu ztratily v průměru 303 000 USD a ve srovnání s rokem 2004 se ztráty zvýšily šestkrát.

Přirozeně pro ruské společnostiúdaje o ztrátách budou zcela odlišné, ale to nic nemění na samotném problému: neoprávněný přístup způsobuje společnostem vážné škody, ať už si toho je tento management vědom nebo ne.

Je zřejmé, že spolehlivost ochrany před touto hrozbou závisí především na kvalitě systému autentizace uživatelů. Dnes mluvit o bezpečnosti informací bez vazby na personalizovaný přístup a sledování všech akcí uživatelů v síti prostě nedává smysl. Nicméně, když mluvíme o autentizaci uživatelů na počítačích zahrnutých do podnikové lokální sítě, pak nejsou žádné zvláštní potíže. Trh nabízí mnoho různých řešení, včetně čipových karet a elektronických klíčů, nástrojů biometrické autentizace a dokonce i tak exotických věcí, jako jsou grafická hesla.

Poněkud jiná je situace, pokud se uživatel potřebuje připojit k podnikové počítačové síti vzdáleně např. přes internet. V tomto případě může čelit řadě problémů, které budeme zvažovat podrobněji.

Úskalí vzdáleného přístupu

V nedůvěryhodném prostředí (mimo kancelář) se uživatel potýká s potřebou zadat heslo z cizího počítače (například z internetové kavárny). Hesla se ukládají do mezipaměti, stejně jako jakékoli jiné informace zadané do počítače, a pokud si to přeje, může je někdo jiný použít pro své vlastní sobecké účely.

Docela běžný je dnes takový typ počítačového podvodu, jako je sniffing (z anglického sniff - sniff) - zachycení síťových paketů útočníkem za účelem identifikace informací, které ho zajímají. Pomocí této techniky může hacker „vyčmuchat“ heslo uživatele a použít ho k neoprávněnému přístupu.

Jednoduchá ochrana heslem (zejména pro vzdálený přístup) je vážně testována novou generací spywaru, který se tiše dostane do počítače uživatele při běžném „listování“ webových stránek. Virus může být naprogramován tak, aby filtroval informační toky konkrétního počítače, aby identifikoval kombinace znaků, které mohou sloužit jako hesla. Tyto kombinace posílá „špion“ svému tvůrci a jediné, co mu zbývá, je prozradit požadované heslo.

Je jasné, že hardwarová metoda organizace bezpečného přístupu k síti je několikanásobně spolehlivější než jednoduchá hesla, ale jak můžete použít čipovou kartu nebo USB klíč, když jste zase pryč z kanceláře? S největší pravděpodobností to selže, protože první zařízení potřebuje alespoň čtečku, druhé potřebuje USB port, který lze zablokovat (internetová kavárna) nebo v horším případě nemusí být v zařízení, ze kterého uživatel zkouší získat přístup (PDA, mobilní telefon, smartphone atd.). Netřeba dodávat, že pro provoz hardwaru - čipových karet a USB klíčů - potřebujete příslušný software, který je stěží možné nainstalovat do stejné internetové kavárny.

Mezitím poměrně často dochází k situacím, kdy je nutné vzdáleně přijímat nebo odesílat informace. Vezměme si například systémy elektronického bankovnictví: je snadné si představit situaci, kdy uživatel potřebuje přístup k zabezpečeným bankovním zdrojům, aby mohl vzdáleně spravovat svůj účet. Některé banky si dnes uvědomily potřebu hardwarové autorizace pomocí USB klíče. Ale z řady výše popsaných důvodů není zdaleka vždy možné jej použít.

Specifika podnikání mnoha velké společnostičasto je zavazuje poskytnout přístup k vlastním zdrojům uživatelům třetích stran – partnerům, zákazníkům, dodavatelům. Dnes v Rusku takový typ spolupráce, jako je outsourcing, aktivně nabírá na síle: subdodavatelská společnost může potřebovat přístup k chráněným zdrojům zákazníka, aby mohla provést práci na zakázce.

Potřeba připojit se k podnikové síti se silným autentizačním schématem, pouze s PDA nebo chytrým telefonem po ruce, se může stát vážným problémem, pokud je uživatel na konferenci, jednání nebo jiných obchodních akcích. Jen pro mobilní aplikace, stejně jako organizovat přístup k potřebným informacím z míst, kde není možné instalovat speciální software, byl vyvinut koncept jednorázových hesel OTP - One-Time Password.

Jednorázové heslo: zadané a zapomenuté

Jednorázové heslo je klíčové slovo platné pouze pro jeden proces ověřování po omezenou dobu. Takové heslo zcela řeší problém možného zachycení informací nebo banálního nakukování. I když se útočníkovi podaří získat heslo „oběti“, šance na jeho použití k získání přístupu je nulová.

První implementace konceptu jednorázových hesel byly založeny na statické sadě klíčových slov, to znamená, že byl nejprve vygenerován seznam hesel (klíčů, kódových slov atd.), který pak uživatelé mohli používat. Podobný mechanismus byl použit v prvním bankovních systémů s možností vzdálené správy účtu. Při aktivaci této služby klient obdržel obálku se seznamem svých hesel. Potom pokaždé, když vstoupil do systému, použil další klíčové slovo. Po dosažení konce seznamu si klient zašel do banky pro nový. Toto řešení mělo řadu nevýhod, z nichž hlavní byla nízká spolehlivost. Přesto je nebezpečné neustále s sebou nosit seznam hesel, je snadné jej ztratit nebo jej mohou vetřelci odcizit. A pak, seznam není nekonečný, ale co když ve správný čas nebude možné se do banky dostat?

Dnes se situace naštěstí změnila tím nejradikálnějším způsobem. Obecně lze říci, že v západních zemích se jednorázová hesla pro autentizaci v informačních systémech stala běžnou záležitostí. U nás však zůstala technologie OTP donedávna nedostupná. A teprve nedávno si vedení společnosti začalo uvědomovat, jak moc se zvyšuje riziko neoprávněného přístupu při práci na dálku. Poptávka, jak víte, vytváří nabídku. Nyní produkty, které používají jednorázová hesla pro vzdálenou autentizaci, postupně začaly zaujímat své místo na ruském trhu.

V moderní technologie Autentizace OTP využívá dynamické generování klíčových slov pomocí silných kryptografických algoritmů. Jinými slovy, autentizační data jsou výsledkem zašifrování nějaké počáteční hodnoty pomocí soukromého klíče uživatele. Tato informace má to klient i server. Nepřenáší se po síti a není k dispozici pro odposlech. Jako počáteční hodnota jsou použity informace známé oběma stranám autentizačního procesu a pro každého uživatele je při jeho inicializaci v systému vytvořen šifrovací klíč (obr. 1).

Stojí za zmínku, že v této fázi vývoje technologií OTP existují systémy, které využívají jak symetrickou, tak asymetrickou kryptografii. V prvním případě musí mít obě strany tajný klíč. Ve druhém případě potřebuje tajný klíč pouze uživatel a ověřovací server jej má veřejný.

Implementace

Technologie OTP byly vyvinuty jako součást průmyslové iniciativy Open Authentication (OATH), kterou zahájila společnost VeriSign v roce 2004. Podstatou této iniciativy je vyvinout standardní specifikaci pro skutečně silnou autentizaci pro různé internetové služby. Navíc se bavíme o dvoufaktorovém určení uživatelských práv, při kterém musí uživatel „ukázat“ čipovou kartu nebo USB token a své heslo. Jednorázová hesla se tak nakonec mohou stát standardním prostředkem vzdálené autentizace v různých systémech.

V současnosti bylo vyvinuto a v praxi využíváno několik možností implementace systémů jednorázové autentizace heslem.

Metoda žádost-odpověď. Princip jeho fungování je následující: na začátku autentizační procedury uživatel odešle své přihlašovací údaje na server. V reakci na to vygeneruje nějaký náhodný řetězec a pošle ho zpět. Uživatel tato data zašifruje pomocí svého klíče a vrátí je na server. Server v tuto chvíli "najde" tajný klíč daného uživatele ve své paměti a zakóduje s jeho pomocí původní řetězec. Dále je provedeno srovnání obou výsledků šifrování. Pokud se zcela shodují, je ověření považováno za úspěšné. Tato metoda implementace technologie jednorázového hesla se nazývá asynchronní, protože proces ověřování nezávisí na historii uživatele na serveru a dalších faktorech.

Metoda „pouze odpověď“. V tomto případě je ověřovací algoritmus poněkud jednodušší. Na samém začátku procesu software nebo hardware uživatele nezávisle vygeneruje počáteční data, která budou zašifrována a odeslána na server k porovnání. V tomto případě se v procesu vytváření řádku použije hodnota předchozího požadavku. Server má také tyto informace; když zná uživatelské jméno, najde hodnotu svého předchozího požadavku a vygeneruje přesně stejný řetězec pomocí stejného algoritmu. Zašifrováním pomocí tajného klíče uživatele (je také uložen na serveru) server obdrží hodnotu, která se musí zcela shodovat s daty zaslanými uživatelem.

Metoda synchronizace času. V něm se jako počáteční řádek používají aktuální odečty časovače speciálního zařízení nebo počítače, na kterém člověk pracuje. V tomto případě se obvykle nepoužívá přesné označení času, ale aktuální interval s předem nastavenými hranicemi (například 30 s). Tato data jsou šifrována soukromým klíčem a otevřený formulář jsou odeslány na server spolu s uživatelským jménem. Server po přijetí požadavku na ověření provede stejné akce: přijme aktuální čas ze svého časovače a zašifruje jej. Poté musí porovnat pouze dvě hodnoty: vypočítané a přijaté ze vzdáleného počítače.

Metoda "synchronizace podle události". V zásadě je tato metoda téměř identická s předchozí, pouze jako počáteční řetězec je použit počet úspěšných autentizačních procedur provedených před tou aktuální, nikoli čas. Tuto hodnotu vypočítávají obě strany samostatně.

V některých systémech jsou implementovány tzv. smíšené metody, kdy se jako výchozí hodnota používají dva typy informací nebo i více. Existují například systémy, které berou v úvahu jak ověřovací čítače, tak vestavěné časovače. Tento přístup se vyhýbá mnoha nevýhodám jednotlivých metod.

Zranitelnost technologie OTP

Technologie jednorázových hesel je považována za docela spolehlivou. Pro objektivitu však podotýkáme, že má i nevýhody, kterým podléhají všechny systémy, které implementují princip OTP v jeho čisté podobě. Takové zranitelnosti lze rozdělit do dvou skupin. První zahrnuje potenciálně nebezpečné „díry“ vlastní všem metodám implementace. Nejzávažnější z nich je možnost podvržení autentizačního serveru. V tomto případě uživatel odešle svá data přímo útočníkovi, který je může okamžitě použít k přístupu na skutečný server. V případě metody „request-response“ je algoritmus útoku o něco složitější (hackerův počítač musí hrát roli „prostředníka“, který prochází procesem výměny informací mezi serverem a klientem). Je však třeba poznamenat, že v praxi není vůbec snadné takový útok provést.

Další zranitelnost je vlastní pouze synchronním metodám a souvisí s tím, že existuje riziko desynchronizace informací na serveru a v softwaru nebo hardwaru uživatele. Předpokládejme, že v některém systému jsou počátečními údaji hodnoty vnitřních časovačů a z nějakého důvodu se již vzájemně neshodují. V tomto případě selžou všechny pokusy uživatele o ověření (chyba prvního druhu). Naštěstí v takových případech nemůže dojít k chybě druhého druhu (přiznání „cizího“). Pravděpodobnost výskytu popsané situace je však také extrémně malá.

Některé útoky jsou použitelné pouze na určité způsoby implementace technologie jednorázových hesel. Vezměme si například znovu metodu synchronizace časovače. Jak jsme si již řekli, čas se v něm nebere v úvahu s přesností na vteřinu, ale v nějakém předem určeném intervalu. To se provádí s ohledem na možnost desynchronizace časovače a také na výskyt zpoždění při přenosu dat. A právě tento moment může teoreticky využít útočník k získání neoprávněného přístupu ke vzdálenému systému. Nejprve hacker „naslouchá“ síťovému provozu od uživatele k ověřovacímu serveru a zachytí přihlašovací jméno a jednorázové heslo zaslané „obětí“. Poté okamžitě zablokuje svůj počítač (přetíží jej, přeruší spojení atd.) a odešle ze sebe autorizační údaje. A pokud to útočník zvládne tak rychle, že se interval autentizace nestihne změnit, server ho rozpozná jako registrovaného uživatele.

Je jasné, že pro takový útok musí být útočník schopen naslouchat provozu a také rychle zablokovat klientský počítač, a to není snadný úkol. Nejjednodušší je splnit tyto podmínky, když je útok předem naplánován a pro připojení ke vzdálenému systému „oběť“ využije počítač z cizí lokální sítě. V tomto případě může hacker „pracovat“ na jednom z počítačů předem a ovládat jej z jiného počítače. Před takovým útokem se můžete chránit pouze použitím "důvěryhodných" pracovních strojů (například vlastního notebooku nebo PDA) a "nezávislých" bezpečných (například pomocí SSL) kanálů pro přístup k internetu.

Kvalita realizace

Spolehlivost jakéhokoli bezpečnostního systému do značné míry závisí na kvalitě jeho implementace. Každý má praktická řešení existují chyby, které mohou útočníci využít pro své vlastní účely, a tyto „díry“ často nemají přímý vztah k implementované technologii. Toto pravidlo je plně použitelné pro autentizační systémy založené na jednorázových heslech. Jak bylo uvedeno výše, jsou založeny na použití kryptografických algoritmů. To ukládá vývojářům takových produktů určité povinnosti – koneckonců špatný výkon jakéhokoli algoritmu nebo například generátor náhodných čísel může ohrozit bezpečnost informací.

Generátory jednorázových hesel jsou implementovány dvěma způsoby: softwarově a hardwarově. První z nich je samozřejmě méně spolehlivý. Faktem je, že klientský nástroj musí uložit tajný klíč uživatele. To lze provést více či méně bezpečně pouze zašifrováním samotného klíče na základě osobního hesla. Zároveň je třeba vzít v úvahu, že klientský nástroj musí být nainstalován na zařízení (PDA, smartphone atd.), ze kterého tento moment relace běží. Ukazuje se tedy, že autentizace zaměstnance závisí na jediném hesle, přestože existuje mnoho způsobů, jak jej zjistit nebo uhodnout. A to není zdaleka jediná zranitelnost softwarového generátoru jednorázových hesel.

Různá zařízení pro hardwarovou implementaci OTP technologií jsou nesrovnatelně spolehlivější. Existují například zařízení, která vypadají jako kalkulačka (obr. 2): když do nich zadáte sadu čísel odeslaných serverem, vygenerují jednorázové heslo na základě vloženého tajného klíče („request-response "metoda). Hlavní zranitelnost takových zařízení souvisí se skutečností, že mohou být odcizena nebo ztracena. Systém můžete chránit před narušitelem pouze tehdy, pokud používáte spolehlivou ochranu paměti zařízení tajným klíčem.

Rýže. 2. Zařízení RSA SecurID OTP.

Tento přístup je implementován v čipových kartách a USB tokenech. Pro přístup do paměti musí uživatel zadat svůj PIN. Dodáváme, že taková zařízení jsou chráněna před výběrem PIN kódu: když jej zadáte třikrát špatná hodnota jsou zablokovány. Spolehlivé ukládání informací o klíčích, hardwarové generování párů klíčů a provádění kryptografických operací v důvěryhodném prostředí (na čipu čipové karty) neumožňují útočníkovi extrahovat tajný klíč a vytvořit duplikát zařízení pro generování jednorázového hesla.

Příklad implementace OTP

Čipové karty a tokeny USB jsou tedy považovány za nejspolehlivější generátory jednorázových hesel, které jsou chráněny téměř před všemi chybami zabezpečení. Ty druhé jsou navíc jednoznačně pohodlnější: lze je použít na jakémkoli PC nebo notebooku bez dalších čteček, které jsou vyžadovány pro čipové karty. Navíc je zde implementace USB dongle s technologií OTP, který může fungovat i bez USB portu. Příkladem takového elektronického klíče je eToken NG-OTP od společnosti Aladdin (obr. 3).

Stojí za zmínku, že Aladdin (http://www.aladdin.com) se aktivně podílí na propagaci výše uvedené iniciativy OATH a klíč, o kterém se zde diskutuje, byl vybrán jako hlavní součást řešení VeriSign Unified Authentication. Pravda, v tomto systému se tomu říká jinak: eToken VeriSign. Hlavním účelem tohoto řešení je zvýšit důvěru v transakce uzavírané přes internet a je založeno na silné dvoufaktorové autentizaci na základě hardwarového klíče. Takové OEM dodávky produktu eToken NG-OTP potvrzují jeho kvalitu a shodu se všemi specifikacemi OATH.

Zařízení řady eToken jsou v Rusku poměrně rozšířená. Takoví přední výrobci jako Microsoft, Cisco, Oracle, Novell atd. poskytují podporu ve svých produktech ("úspěšnost" eTokenu má více než 200 implementací s aplikacemi pro zabezpečení informací).

eToken NG-OTP je tedy založen na jiném hardwarovém klíči, nejoblíbenějším modelem v řadě je eToken PRO. Jedná se o plnohodnotný token založený na čipu zabezpečené paměťové čipové karty, který lze použít k bezpečnému ukládání klíčových informací, uživatelských profilů a dalších důvěrných dat, k provádění kryptografických výpočtů v hardwaru a práci s asymetrickými klíči a certifikáty X.509.

V dongle eToken NG-OTP je kromě modulů, které implementují výše popsané schopnosti, také hardwarový generátor jednorázových hesel (obr. 4). Funguje podle metody „synchronizace událostí“. Jedná se o nejspolehlivější implementaci technologie OTP mezi synchronními možnostmi (s menším rizikem desynchronizace). Algoritmus generování jednorázového hesla implementovaný v klíči eToken NG-OTP byl vyvinut v rámci iniciativy OATH (je založen na technologii HMAC). Jeho podstata spočívá ve výpočtu hodnoty HMAC-SHA-1 a následně v operaci oříznutí (výběru) šesti číslic z výsledné 160bitové hodnoty. Slouží jako stejné jednorázové heslo.

Zajímavostí kombinovaného klíče eToken NG-OTP je možnost používat jednorázová hesla i bez připojení klíče k počítači. Proces generování OTP lze spustit stisknutím speciálního tlačítka umístěného na těle zařízení (obr. 5) a jeho výsledek se v tomto případě zobrazí na vestavěném LCD displeji. Tento přístup umožňuje používat technologii OTP i na zařízeních, která nemají USB porty (smartphony, PDA, mobilní telefony atd.) a na počítačích, kde jsou blokovány.

Nejspolehlivější je smíšený režim provozu uvažovaného klíče. Chcete-li jej používat, musí být zařízení připojeno k počítači. Zde hovoříme o dvoufaktorové autentizaci, která je implementována několika způsoby. V jednom případě je pro získání přístupu do sítě nutné k zadání použít vlastní heslo uživatele a také hodnotu OTP. Druhá možnost vyžaduje jednorázové heslo a hodnotu OTP PIN (zobrazená na hlavní obrazovce).

Klíč eToken NG-OTP samozřejmě může fungovat jako standardní USB token - pro autentizaci uživatele pomocí digitálních certifikátů a technologie PKI, pro uložení osobních klíčů atd. Proto je vhodné daný produkt používat v široké škále projektů související s potřebou bezpečného vzdáleného přístupu a dvoufaktorové autentizace. Použití takových hybridních klíčů v podnikovém měřítku umožňuje uživatelům pracovat s jejich klíči v kanceláři i mimo ni. Tento přístup snižuje náklady na vytvoření systému zabezpečení informací bez snížení jeho spolehlivosti.

Shrnutí

Koncept jednorázových hesel OTP ve spojení s moderními kryptografickými metodami lze tedy použít k implementaci spolehlivých systémů vzdálené autentizace. Tato technologie má řadu významných výhod. Za prvé je to spolehlivost. Dnes již není tolik způsobů, jak skutečně „silně“ ověřit uživatele při přenosu informací otevřenými komunikačními kanály. Mezitím je tento problém stále častější. A jednorázová hesla jsou jedním z jeho nejslibnějších řešení.

Druhou výhodou jednorázových hesel je použití „standardních“ kryptografických algoritmů. To znamená, že stávající vývoj je vhodný pro implementaci autentizačního systému pomocí OTP. Ve skutečnosti to jasně dokazuje stejný klíč eToken NG-OTP, který je kompatibilní s domácími poskytovateli kryptoměn. Takové tokeny lze použít ve stávajících podnikových bezpečnostních systémech bez jejich restrukturalizace. V důsledku toho lze technologii jednorázového hesla implementovat s relativně nízkou cenou.

Dalším plusem jednorázových hesel je, že ochrana je slabě závislá na lidském faktoru. Pravda, neplatí to pro všechny jeho implementace. Jak jsme již řekli, spolehlivost mnoha programů na jednorázové heslo závisí na kvalitě použitého PIN. Hardwarové generátory založené na USB tokenech využívají plnohodnotné dvoufaktorové ověřování. A konečně čtvrtou výhodou konceptu OTP je jeho pohodlí pro uživatele. Získejte přístup k nezbytné informace použití jednorázových hesel není o nic obtížnější než použití statických klíčových slov pro tento účel. Obzvláště příjemné je, že některé hardwarové implementace uvažované technologie lze použít na jakémkoli zařízení, bez ohledu na existující porty a nainstalovaný software.

Jednorázové heslo(jednorázové heslo, OTP) je heslo platné pouze pro jednu relaci. Platnost jednorázového hesla lze také omezit na určitou dobu. Výhodou jednorázového hesla oproti statickému je, že heslo nelze znovu použít. Útočník, který zachytil data z úspěšné autentizační relace, tedy nemůže použít zkopírované heslo k získání přístupu do chráněného informačního systému. Použití jednorázových hesel samo o sobě nechrání před útoky založenými na aktivním zásahu do komunikačního kanálu používaného k autentizaci (např. proti útokům typu man-in-the-middle).

Pro vytváření jednorázových hesel slouží generátor jednorázových hesel, který je dostupný pouze tomuto uživateli. Jednorázová hesla jsou obvykle prezentována jako sada čísel a používají se pro přístup k systémům vzdálených služeb. Toto, vnitřní Informační systémy organizací.

V bankovnictví je nejčastějším způsobem poskytnutí jednorázového hesla SMS zpráva, kterou banka zašle klientovi, který utrácí v systému internetového bankovnictví.

Jednorázová hesla navíc může banka vydávat na tzv. stírací los - plastovou kartu, na které jsou hesla skryta za smazatelným krytem. V tomto případě klient po obdržení pokynu ze systému internetového bankovnictví k zadání jednorázového hesla (se specifickým sériovým číslem) smaže kryt vedle požadovaného čísla na kartě a zadá kód do systému.

Praktikuje se to, ale postupem času ztrácí způsob vydávání seznamu jednorázových hesel in - on check na aktuálnosti. Stejně jako hesla na stíracích losech mají pořadová čísla a zadávají se na pokyn systému internetového bankovnictví.

V boji proti podvodům banky stále častěji využívají jednorázová hesla nejen pro potvrzování finanční transakce, ale také pro prvotní přihlášení do systému internetového bankovnictví.

Některé systémy internetového bankovnictví nabízejí elektronický generátor jednorázových kódů.

Algoritmy generování OTP obvykle používají náhodná čísla. To je nutné, protože jinak by bylo snadné předvídat následující hesla na základě znalosti předchozích. Specifické OTP algoritmy se v detailech velmi liší. Různé přístupy k vytváření jednorázových hesel jsou uvedeny níže.

1. Použití matematických algoritmů k vytvoření nového hesla založeného na předchozích (hesla ve skutečnosti tvoří řetězec a musí být použita v určitém pořadí).
2. Na základě časové synchronizace mezi serverem a klientem poskytujícím heslo (hesla jsou platná po krátkou dobu).
3. Použití matematického algoritmu, kde je nové heslo založeno na požadavku (například náhodné číslo zvolené serverem nebo části příchozí zprávy) a/nebo počítadlo.

Jednorázové heslo

Používá se k potvrzení transakce provedené na internetu, například ve vzdáleném bankovním systému. V bankovnictví je nejčastějším způsobem poskytnutí jednorázového hesla SMS zpráva, která je zaslána klientovi provádějícímu transakci v systému internetového bankovnictví.

Jednorázová hesla může navíc banka vydávat na tzv. stírací los - plastovou kartu, na které jsou hesla skryta za smazatelným krytem. V tomto případě klient po obdržení pokynu ze systému internetového bankovnictví k zadání jednorázového hesla (se specifickým sériovým číslem) smaže kryt vedle požadovaného čísla na kartě a zadá kód do systému.

Praktikuje se to, ale postupem času ztrácí na relevanci způsob vydávání seznamu jednorázových hesel u bankomatu – na šek. Stejně jako hesla na stíracích losech mají pořadová čísla a zadávají se na pokyn systému internetového bankovnictví.

V boji proti podvodům banky stále častěji používají jednorázová hesla nejen k potvrzování finančních transakcí, ale také k prvotnímu vstupu do systému internetového bankovnictví.

Obvykle, úvěrové organizace vydávat karty nebo výtisky s jednorázovými hesly zdarma, ale ne vždy se tak děje. Takže v Uralsibu bude sada jednorázových klíčů pro přístup do systému internetového bankovnictví stát klienta 50 rublů, v Master Bank stojí karta s variabilním kódem (obsahující 132 čísel) 200 rublů.

Některé systémy internetového bankovnictví, jako je Bank of Moscow, SMP Bank, nabízejí token - elektronický generátor jednorázových kódů. A Master Bank implementuje aplikaci pro přenosná zařízení, která navíc umožňuje generovat jednorázové kódy.

Podívejte se, co je "jednorázové heslo" v jiných slovnících:

jednorázové heslo- dynamicky se měnící heslo Generátor OTP je samostatné přenosné elektronické zařízení schopné generování a zobrazování na vestavěném LCD digitální kódy. U zařízení řady VASCO Digipass je mechanismus… … Technická příručka překladatele

Jednorázové heslo- Stírací los banky VTB24 s jednorázovými hesly Jednorázové heslo (anglicky one time password, OTP) je heslo, platné ... Wikipedia

Poznámkový blok na jedno použití- Vernamova šifra (jiný název: anglické One time pad schéma jednorázových bloků) v kryptografii, symetrický šifrovací systém vynalezený v roce 1917 zaměstnanci AT T majorem Josephem Maubornem a Gilbertem Vernamem. Vernamova šifra je ... ... Wikipedie

Jednorázové heslo - Plastová karta s jednorázovými hesly Jednorázové heslo je heslo, které je platné pouze pro jeden proces ověřování po omezenou dobu. Výhoda jednorázového hesla oproti heslu statickému ... ... Wikipedie

SecurID- RSA SecurID Logo RSA SecurID ... Wikipedie

Autentizace- (anglicky Authentication) autentizační procedura ... Wikipedie

Autentizace- Autentizace - ověření příslušnosti k subjektu přístupu jím předloženého identifikátoru; potvrzení pravosti ... Wikipedie

Časově založený jednorázový algoritmus hesla- TOTP (Time based One Time Password Algorithm, RFC 6238.) Algoritmus OATH pro generování jednorázových hesel pro bezpečnou autentizaci, což je vylepšení oproti HOTP (HMAC Based One Time Password Algorithm). Je to jednosměrný algoritmus ... ... Wikipedie

Výzva-odpověď (anti-spam)- Challenge response - strategie pro autentizaci uživatele pomocí kontroly správnosti jeho reakce na nepředvídatelný systémový požadavek. Nejčastěji je taková kontrola zaměřena na odlišení programu robota od skutečná osoba… Wikipedie

Vernamova šifra- (jiný název: One time pad schéma jednorázových vycpávek) v kryptografii, symetrický šifrovací systém vynalezený v roce 1917 zaměstnanci AT T majorem Josephem Maubornem a Gilbertem Vernamem. Vernamova šifra ... ... Wikipedie

Získání uživatelského ID a jednorázového hesla prostřednictvím bankomatu nebo pomocíSMS.

Jednorázové heslo přes bankomat.

Pomocí samoobslužného zařízení Sberbank můžete také získat uživatelské ID a trvalé heslo.Vložíme kartu, zadáme PIN kód. Dále v seznamu vyberte položku „Připojit Sberbank Online a Mobilní banka"", přejděte na novou stránku. Zde budete muset kliknout na záložku "Vytisknout jednorázová hesla" a obdržet je ve formě účtenky.

Pokud ještě nejste připojeni k systému, pak nejprve zvolte položku "Vytisknout ID a heslo" a tyto údaje obdržíte na účtenku. Poté znovu vložte kartu, zadejte PIN kód a opakujte všechny výše popsané kroky.

Jednorázové heslo přes SMS.

Z bezpečnostních důvodů se při přihlašování do systému nebo při provádění rizikových operací provádí dodatečná autentizace uživatele pomocí jednorázového hesla.

Klienti, kteří službu využívají, mohou obdržet jednorázové heslo mobilní banka. Banka během operace odešle jednorázové heslo na mobilní zařízení uživatele. Uživatel obdrží SMS zprávu obsahující parametry operace, pro kterou je heslo určeno. Upozorňujeme, že jednorázové heslo je nutné použít do 5 minut a pouze k potvrzení dokončení určité akce.

Pozornost! Před zadáním jednorázového hesla je nutné ověřit detaily prováděné operace s údaji uvedenými v SMS zprávě. Pokud jsou jménem Sberbank přijímány zprávy s podrobnostmi o transakci, kterou jste neprovedli, nezadávejte jednorázové heslo do příslušných formulářů a nikomu je nesdělujte, a to ani v případě, že jste kontaktováni jménem zaměstnanců Sberbank .

Příklad SMS v případě operace vygenerování šablony platby

54321 je jednorázové heslo, které se používá k potvrzení vytvoření šablony.

Příklad SMS pro převod

54321 — jednorázové heslo potvrzující přenos.

Příklad SMS pro platební transakci

54321 — jednorázové heslo potvrzující platbu.

Potvrzení operací jednorázovým heslem:

Pro potvrzení operace je na telefon připojený ke službě mobilního bankovnictví odeslána zpráva s parametry operace a heslem pro potvrzení.

Chcete-li operaci dokončit, musíte do příslušného pole zadat heslo a kliknout na tlačítko POTVRDIT.

Doufáme, že se vám podařilo získat jednorázová hesla od Sberbank.

Použití OTP (One Time Password) je další vrstvou zabezpečení při práci s obchodními účty. Pokaždé, když se uživatel připojí k účtu, je povinen zadat jedinečné jednorázové heslo.

Funguje také jako generátor jednorázových hesel.

Chcete-li začít používat jednorázová hesla, musíte propojit svůj obchodní účet s generátorem hesel, což je mobilní platforma pro iPhone nebo Android.

Povolte jednorázové heslo na iPhone

Přejděte do části „Nastavení“ mobilní platformy a vyberte položku OTP. Při prvním otevření této části musíte pro zvýšení bezpečnosti nastavit čtyřmístné heslo. Pro přístup ke generátoru hesel bude nutné pokaždé zadat heslo.

Další příkazy:

• Synchronizovat čas – synchronizuje čas mobilního zařízení s referenčním serverem. Požadavek na přesnost je dán tím, že jednorázové heslo je vázáno na aktuální časový interval a tento čas se musí shodovat na straně obchodní platformy a serveru.

Povolte jednorázové heslo na zařízení Android

Přejděte do sekce "Účty". mobilní terminál a stiskněte . Při prvním otevření této části musíte pro zvýšení bezpečnosti nastavit čtyřmístné heslo. Pro přístup ke generátoru hesel bude nutné pokaždé zadat heslo.

V okně, které se otevře, vyberte „Propojit s účtem“.

Dále zadejte název serveru, na kterém je obchodní účet otevřen, číslo účtu a hlavní heslo k němu. Možnost Bind by měla zůstat povolená. Pokud se chystáte odpojit zadaný účet od generátoru a nebudete již používat jednorázová hesla, musí být vypnuto.

Po kliknutí na tlačítko "Link" umístěné v horní části okna bude obchodní účet propojen s generátorem, zobrazí se odpovídající zpráva.

Podobně můžete s generátorem propojit neomezený počet obchodních účtů.

Jednorázové heslo je zobrazeno v horní části sekce OTP. Pod ním modrý pruh zobrazuje ukazatel času pro aktuální heslo. Po vypršení času se heslo stane neplatným a bude vygenerováno nové.

Další příkazy:

• Změnit heslo - změna hesla pro přístup ke generátoru.
• Synchronizovat čas – synchronizuje čas mobilního zařízení s referenčním serverem. Požadavek na přesnost je dán tím, že jednorázové heslo je vázáno na aktuální časový interval a tento čas se musí shodovat na straně klientského terminálu a serveru.

Použití OTP v platformě

Po navázání na generátor při pokusu o připojení přes obchodní platforma při použití obchodního účtu bude navíc požadováno jednorázové heslo: