Kaip rodo naujausi tyrimai, viena iš rimčiausių įmonių problemų informacijos saugumo srityje yra neteisėta prieiga prie kompiuterinių sistemų. CSI/FTB 2005 m. kompiuterinių nusikaltimų ir saugumo tyrimo duomenimis, praėjusiais metais 55 % įmonių pranešė apie duomenų pažeidimus. Be to, tais pačiais metais įmonės dėl neteisėtos prieigos prarado vidutiniškai 303 000 USD, o palyginti su 2004 m., nuostoliai išaugo šešis kartus.

Natūralu, kad Rusijos įmonės nuostolių skaičiai bus visiškai kitokie, tačiau tai nekeičia pačios problemos: neteisėta prieiga įmonėms daro didelę žalą, nesvarbu, ar ši vadovybė tai žino, ar ne.

Akivaizdu, kad apsaugos nuo šios grėsmės patikimumas pirmiausia priklauso nuo vartotojo autentifikavimo sistemos kokybės. Šiandien kalbėti apie informacijos saugumą, nesusiejant su asmenine prieiga ir visų vartotojų veiksmų tinkle sekimu, tiesiog nėra prasmės. Tačiau kai Mes kalbame apie vartotojo autentifikavimą kompiuteriuose, įtrauktuose į įmonės vietinį tinklą, tada nėra jokių ypatingų sunkumų. Rinka siūlo daugybę skirtingų sprendimų, įskaitant intelektualiąsias korteles ir elektroninius raktus, biometrinius autentifikavimo įrankius ir net tokius egzotiškus dalykus kaip grafiniai slaptažodžiai.

Situacija kiek kitokia, jei vartotojui prie įmonės kompiuterių tinklo reikia prisijungti nuotoliniu būdu, pavyzdžiui, internetu. Tokiu atveju jis gali susidurti su daugybe problemų, kurias mes apsvarstysime išsamiau.

Nuotolinės prieigos spąstai

Būdamas nepatikimoje aplinkoje (už biuro ribų), vartotojas susiduria su būtinybe įvesti slaptažodį iš svetimo kompiuterio (pavyzdžiui, iš interneto kavinės). Slaptažodžiai saugomi talpykloje, kaip ir bet kuri kita į kompiuterį įvedama informacija, ir, jei pageidaujama, kas nors kitas gali juos panaudoti savo savanaudiškiems tikslams.

Šiandien gana paplitęs toks kompiuterinio sukčiavimo tipas kaip sniffing (iš anglų kalbos sniff – sniff) – užpuoliko vykdomas tinklo paketų perėmimas, siekiant nustatyti jį dominančią informaciją. Naudodamas šią techniką, įsilaužėlis gali „uostyti“ vartotojo slaptažodį ir panaudoti jį neteisėtai prieigai.

Paprastą apsaugą slaptažodžiu (ypač nuotolinei prieigai) rimtai išbando naujos kartos šnipinėjimo programos, kurios tyliai patenka į vartotojo kompiuterį įprasto interneto puslapių „vartymo“ metu. Virusas gali būti užprogramuotas filtruoti konkretaus kompiuterio informacijos srautus, siekiant nustatyti simbolių derinius, kurie gali būti naudojami kaip slaptažodžiai. „Šnipas“ šias kombinacijas siunčia savo kūrėjui, o jam belieka atskleisti reikiamą slaptažodį.

Akivaizdu, kad aparatinė saugios prieigos prie tinklo organizavimo metodas yra kelis kartus patikimesnis nei paprasti slaptažodžiai, tačiau kaip naudoti intelektualiąją kortelę ar USB raktą, kai vėl esate toli nuo biuro? Greičiausiai tai nepavyks, nes pirmam įrenginiui reikia bent skaitytuvo, antrajam reikia USB prievado, kurį galima užblokuoti (interneto kavinė) arba, dar blogiau, jo gali tiesiog nebūti įrenginyje, iš kurio vartotojas bando gauti prieigą (PDA, Mobilusis telefonas, išmanusis telefonas ir kt.). Savaime suprantama, aparatinės įrangos – lustinių kortelių ir USB raktų – veikimui reikalinga atitinkama programinė įranga, kurią vargu ar pavyks įdiegti toje pačioje interneto kavinėje.

Tuo tarpu situacijos, kai reikia gauti ar siųsti informaciją nuotoliniu būdu, pasitaiko gana dažnai. Paimkime, pavyzdžiui, elektroninės bankininkystės sistemas: nesunku įsivaizduoti situaciją, kai vartotojui reikia prieigos prie saugių banko išteklių, kad galėtų nuotoliniu būdu valdyti savo sąskaitą. Šiandien kai kurie bankai suprato, kad reikia aparatinės įrangos autorizacijos naudojant USB raktą. Tačiau dėl daugelio aukščiau aprašytų priežasčių toli gražu ne visada įmanoma jį naudoti.

Daugelio verslo specifika didelės įmonės dažnai įpareigoja juos suteikti prieigą prie savo išteklių trečiųjų šalių vartotojams – partneriams, klientams, tiekėjams. Šiandien Rusijoje toks bendradarbiavimas kaip užsakomųjų paslaugų teikimas įgauna pagreitį: subrangovinei įmonei gali prireikti prieigos prie kliento saugomų išteklių, kad galėtų atlikti darbus pagal užsakymą.

Būtinybė prisijungti prie įmonės tinklo naudojant stiprią autentifikavimo schemą, po ranka turint tik PDA ar išmanųjį telefoną, gali tapti rimta problema, jei vartotojas dalyvauja konferencijoje, derybose ar kituose verslo renginiuose. Tik mobiliosios programos, taip pat organizuoti prieigą prie reikiamos informacijos iš tų vietų, kur neįmanoma įdiegti specialios programinės įrangos, vienkartinio naudojimo koncepcija. Vienkartiniai slaptažodžiai- Vienkartinis slaptažodis.

Vienkartinis slaptažodis: įvestas ir pamirštas

Vienkartinis slaptažodis yra raktinis žodis, kuris galioja tik vienam autentifikavimo procesui ribotą laiką. Toks slaptažodis visiškai išsprendžia galimo informacijos perėmimo ar banalaus žvilgtelėjimo problemą. Net jei užpuolikas gali gauti „aukos“ slaptažodį, tikimybė, kad jis pasinaudos prieiga, yra nulis.

Pirmieji vienkartinių slaptažodžių koncepcijos įgyvendinimai buvo pagrįsti statiniu raktinių žodžių rinkiniu, tai yra, pirmiausia buvo sugeneruotas slaptažodžių sąrašas (raktai, kodiniai žodžiai ir kt.), kurį vėliau galėjo naudoti vartotojai. Panašus mechanizmas buvo naudojamas pirmajame bankų sistemos su galimybe valdyti sąskaitą nuotoliniu būdu. Suaktyvinus šią paslaugą, klientas gavo voką su slaptažodžių sąrašu. Tada kiekvieną kartą prisijungdamas prie sistemos jis naudojo kitą raktinį žodį. Pasiekęs sąrašo pabaigą, klientas nuėjo į banką naujo. Šis sprendimas turėjo nemažai trūkumų, iš kurių pagrindinis buvo mažas patikimumas. Visgi pavojinga nuolat su savimi nešiotis slaptažodžių sąrašą, jį lengva pamesti arba jį gali pavogti įsibrovėliai. Ir tada sąrašas nėra begalinis, bet ką daryti, jei reikiamu metu nepavyks patekti į banką?

Laimei, šiandien situacija pasikeitė radikaliausiu būdu. Paprastai tariant, Vakarų šalyse vienkartiniai slaptažodžiai autentifikavimui informacinėse sistemose tapo įprasti. Tačiau mūsų šalyje OTP technologija dar visai neseniai liko neprieinama. Ir tik neseniai įmonės vadovybė pradėjo suprasti, kiek padidėja neteisėtos prieigos rizika dirbant nuotoliniu būdu. Paklausa, kaip žinote, sukuria pasiūlą. Dabar produktai, naudojantys vienkartinius slaptažodžius nuotoliniam autentifikavimui, pamažu pradėjo užimti savo vietą Rusijos rinkoje.

AT šiuolaikinės technologijos OTP autentifikavimui naudojamas dinaminis raktinių žodžių generavimas naudojant stiprius kriptografinius algoritmus. Kitaip tariant, autentifikavimo duomenys yra tam tikros pradinės reikšmės užšifravimo vartotojo privačiu raktu rezultatas. Ši informacija jį turi ir klientas, ir serveris. Jis neperduodamas tinklu ir nepasiekiamas perimti. Informacija, kurią žino abi autentifikavimo proceso pusės, naudojama kaip pradinė reikšmė, o kiekvienam vartotojui sukuriamas šifravimo raktas, kai jis inicijuojamas sistemoje (1 pav.).

Verta paminėti, kad šiame OTP technologijų kūrimo etape yra sistemų, kurios naudoja ir simetrinę, ir asimetrinę kriptografiją. Pirmuoju atveju abi šalys turi turėti slaptąjį raktą. Antruoju atveju slaptojo rakto reikia tik vartotojui, o autentifikavimo serveris jį turi viešą.

Įgyvendinimas

OTP technologijos buvo sukurtos kaip „VeriSign“ 2004 m. pradėtos atviro autentifikavimo (OATH) pramonės iniciatyvos dalis. Šios iniciatyvos esmė – sukurti standartinę specifikaciją tikrai stipriam įvairių interneto paslaugų autentifikavimui. Negana to, kalbame apie dviejų faktorių vartotojo teisių nustatymą, kurio metu pastarasis turi „parodyti“ lustinę kortelę arba USB žetoną ir savo slaptažodį. Taigi vienkartiniai slaptažodžiai ilgainiui gali tapti standartine nuotolinio autentifikavimo priemone įvairiose sistemose.

Šiandien yra sukurtos ir praktikoje naudojamos kelios vienkartinio slaptažodžio autentifikavimo sistemų diegimo galimybės.

Prašymo-atsakymo metodas. Jo veikimo principas yra toks: autentifikavimo procedūros pradžioje vartotojas siunčia savo prisijungimo duomenis į serverį. Atsakydama į tai, pastarasis sugeneruoja kokią nors atsitiktinę eilutę ir siunčia ją atgal. Vartotojas užšifruoja šiuos duomenis naudodamas savo raktą ir grąžina juos serveriui. Serveris šiuo metu savo atmintyje „suranda“ duoto vartotojo slaptąjį raktą ir jo pagalba užkoduoja pradinę eilutę. Toliau atliekamas abiejų šifravimo rezultatų palyginimas. Jei jie visiškai sutampa, autentifikavimas laikomas sėkmingu. Šis vienkartinio slaptažodžio technologijos diegimo būdas vadinamas asinchroniniu, nes autentifikavimo procesas nepriklauso nuo vartotojo istorijos su serveriu ir kitų veiksnių.

„Tik atsakymo“ metodas.Šiuo atveju autentifikavimo algoritmas yra šiek tiek paprastesnis. Pačioje proceso pradžioje vartotojo programinė ar techninė įranga savarankiškai generuoja pradinius duomenis, kurie bus užšifruoti ir siunčiami į serverį palyginimui. Šiuo atveju kuriant eilutę naudojama ankstesnės užklausos reikšmė. Šią informaciją turi ir serveris; žinodamas vartotojo vardą, jis suranda savo ankstesnės užklausos reikšmę ir sugeneruoja lygiai tą pačią eilutę naudodamas tą patį algoritmą. Užšifravus jį naudojant vartotojo slaptąjį raktą (jis taip pat saugomas serveryje), serveris gauna reikšmę, kuri turi visiškai atitikti vartotojo siunčiamus duomenis.

Laiko sinchronizavimo metodas. Jame kaip pradinė eilutė naudojami specialaus įrenginio ar kompiuterio, kuriame dirba žmogus, dabartiniai laikmačio rodmenys. Šiuo atveju dažniausiai naudojamas ne tikslus laiko nurodymas, o srovės intervalas su iš anksto nustatytomis ribomis (pavyzdžiui, 30 s). Šie duomenys yra užšifruoti privačiu raktu ir atvira forma siunčiami į serverį kartu su vartotojo vardu. Serveris, gavęs autentifikavimo užklausą, atlieka tuos pačius veiksmus: iš savo laikmačio gauna esamą laiką ir jį užšifruoja. Po to jam telieka palyginti dvi reikšmes: apskaičiuotas ir gautas iš nuotolinio kompiuterio.

Metodas "sinchronizavimas pagal įvykį". Iš esmės šis metodas yra beveik identiškas ankstesniam, tik jis naudoja ne laiką kaip pradinę eilutę, o sėkmingų autentifikavimo procedūrų, atliktų prieš dabartinį, skaičių. Šią vertę abi šalys apskaičiuoja atskirai viena nuo kitos.

Kai kuriose sistemose diegiami vadinamieji mišrūs metodai, kai kaip pradinė reikšmė naudojama dviejų tipų informacija ar net daugiau. Pavyzdžiui, yra sistemų, kurios atsižvelgia ir į autentifikavimo skaitiklius, ir į įmontuotus laikmačius. Šis metodas leidžia išvengti daugelio atskirų metodų trūkumų.

OTP technologijos pažeidžiamumas

Vienkartinių slaptažodžių technologija laikoma gana patikima. Tačiau objektyvumo sumetimais pažymime, kad jis turi ir trūkumų, kuriems taikomos visos sistemos, įgyvendinančios OTP principą gryna forma. Tokius pažeidžiamumus galima suskirstyti į dvi grupes. Pirmasis apima potencialiai pavojingas „skyles“, būdingas visiems įgyvendinimo metodams. Rimčiausias iš jų – galimybė apgauti autentifikavimo serverį. Tokiu atveju vartotojas savo duomenis nusiųs tiesiai užpuolikui, kuris gali iš karto juos panaudoti prieigai prie tikrojo serverio. Užklausos-atsakymo metodo atveju atakos algoritmas yra šiek tiek sudėtingesnis (hakerio kompiuteris turi atlikti „tarpininko“ vaidmenį, eidamas per informacijos mainų tarp serverio ir kliento procesą). Tačiau verta paminėti, kad praktiškai tokį išpuolį įvykdyti visai nelengva.

Kitas pažeidžiamumas būdingas tik sinchroniniams metodams ir yra susijęs su tuo, kad yra informacijos desinchronizavimo rizika serveryje ir vartotojo programinėje ar techninėje įrangoje. Tarkime, kokioje nors sistemoje pradiniai duomenys yra vidinių laikmačių rodmenys ir dėl kokių nors priežasčių jie nebesutampa vienas su kitu. Tokiu atveju visi vartotojo bandymai autentifikuoti nepavyks (pirmojo tipo klaida). Laimei, tokiais atvejais antros rūšies klaida („svetimo“ pripažinimas) negali atsirasti. Tačiau aprašytos situacijos atsiradimo tikimybė taip pat itin maža.

Kai kurios atakos taikomos tik tam tikriems vienkartinio slaptažodžio technologijos diegimo būdams. Pavyzdžiui, dar kartą paimkime laikmačio sinchronizavimo metodą. Kaip jau minėjome, į laiką jame atsižvelgiama ne sekundės tikslumu, o tam tikru iš anksto nustatytu intervalu. Tai daroma atsižvelgiant į laikmačio desinchronizavimo galimybę, taip pat į duomenų perdavimo vėlavimų atsiradimą. Ir būtent šiuo momentu užpuolikas teoriškai gali pasinaudoti, kad gautų neteisėtą prieigą prie nuotolinės sistemos. Pirmiausia įsilaužėlis „klauso“ tinklo srauto nuo vartotojo iki autentifikavimo serverio ir perima „aukos“ atsiųstą prisijungimo vardą ir vienkartinį slaptažodį. Tada iš karto blokuoja savo kompiuterį (perkrauna, nutraukia ryšį ir pan.) ir siunčia autorizacijos duomenis iš savęs. Ir jei užpuolikas sugeba tai padaryti taip greitai, kad autentifikavimo intervalas nespėja pakeisti, serveris atpažįsta jį kaip registruotą vartotoją.

Akivaizdu, kad tokiai atakai užpuolikas turi mokėti klausytis srauto, taip pat greitai užblokuoti kliento kompiuterį, ir tai nėra lengva užduotis. Šias sąlygas lengviausia įvykdyti, kai ataka planuojama iš anksto, o prisijungti prie nuotolinės sistemos „auka“ naudosis kompiuteriu iš svetimo vietinio tinklo. Tokiu atveju įsilaužėlis gali iš anksto „dirbti“ viename iš kompiuterių, galėdamas jį valdyti iš kitos mašinos. Apsisaugoti nuo tokios atakos galite tik naudodami „patikimus“ veikiančius įrenginius (pavyzdžiui, savo nešiojamąjį kompiuterį ar PDA) ir „nepriklausomus“ saugius (pavyzdžiui, naudojant SSL) interneto prieigos kanalus.

Įgyvendinimo kokybė

Bet kurios apsaugos sistemos patikimumas labai priklauso nuo jos įgyvendinimo kokybės. Kiekvienas turi praktiniai sprendimai yra trūkumų, kuriuos užpuolikai gali panaudoti savo tikslams, ir šios „skylės“ dažnai neturi tiesioginio ryšio su diegiama technologija. Ši taisyklė visiškai taikoma autentifikavimo sistemoms, pagrįstoms vienkartiniais slaptažodžiais. Kaip minėta aukščiau, jie yra pagrįsti kriptografinių algoritmų naudojimu. Tai nustato tam tikrus įsipareigojimus tokių produktų kūrėjams – juk prastas kurio nors algoritmo veikimas ar, pavyzdžiui, atsitiktinių skaičių generatorius gali kelti pavojų informacijos saugumui.

Vienkartiniai slaptažodžių generatoriai įgyvendinami dviem būdais: programine ir technine įranga. Pirmasis iš jų, žinoma, yra mažiau patikimas. Faktas yra tas, kad kliento programa turi saugoti slaptąjį vartotojo raktą. Tai galima padaryti daugiau ar mažiau saugiai tik užšifravus patį raktą pagal asmeninį slaptažodį. Tuo pat metu reikia atsižvelgti į tai, kad kliento programa turi būti įdiegta įrenginyje (PDA, išmaniajame telefone ir kt.), iš kurio Šis momentas sesija vyksta. Taigi paaiškėja, kad darbuotojo autentifikavimas priklauso nuo vieno slaptažodžio, nepaisant to, kad yra daugybė būdų jį sužinoti ar atspėti. Ir tai toli gražu ne vienintelis programinės įrangos vienkartinių slaptažodžių generatoriaus pažeidžiamumas.

Įvairūs įrenginiai, skirti aparatinei OTP technologijų diegimui, yra nepalyginamai patikimesni. Pavyzdžiui, yra įrenginių, kurie atrodo kaip skaičiuotuvas (2 pav.): kai į juos įvedate serverio atsiųstų skaičių rinkinį, jie sugeneruoja vienkartinį slaptažodį, pagrįstą įterptu slaptu raktu („request-response“). “ metodas). Pagrindinis tokių įrenginių pažeidžiamumas yra susijęs su tuo, kad jie gali būti pavogti arba pamesti. Apsaugoti sistemą nuo įsibrovėlių galite tik tuo atveju, jei naudojate patikimą įrenginio atminties apsaugą slaptu raktu.

Ryžiai. 2. RSA SecurID OTP įrenginys.

Šis metodas įgyvendinamas intelektualiosiose kortelėse ir USB prieigos raktuose. Norėdami pasiekti savo atmintį, vartotojas turi įvesti savo PIN kodą. Pridedame, kad tokie įrenginiai yra apsaugoti nuo PIN kodo pasirinkimo: įvedus jį tris kartus neteisinga vertė jie užblokuoti. Patikimas pagrindinės informacijos saugojimas, aparatinės įrangos raktų porų generavimas ir kriptografinių operacijų vykdymas patikimoje aplinkoje (lustos kortelės luste) neleidžia užpuolikui išgauti slaptojo rakto ir padaryti vienkartinio slaptažodžio generavimo įrenginio dublikatą.

OTP įgyvendinimo pavyzdys

Taigi intelektualiosios kortelės ir USB žetonai laikomi patikimiausiais vienkartiniais slaptažodžių generatoriais, apsaugotais nuo beveik visų diegimo pažeidžiamumų. Be to, pastarieji yra akivaizdžiai patogesni: juos galima naudoti bet kuriame asmeniniame ar nešiojamajame kompiuteryje be papildomų skaitytuvų, reikalingų lustinėms kortelėms. Be to, yra įdiegtas USB raktas su OTP technologija, kuris gali veikti be USB prievado. Tokio elektroninio rakto pavyzdys yra eToken NG-OTP iš Aladdin (3 pav.).

Verta paminėti, kad Aladdin (http://www.aladdin.com) aktyviai dalyvauja propaguojant aukščiau minėtą OATH iniciatyvą, o čia aptartas raktas buvo pasirinktas kaip pagrindinis VeriSign Unified Authentication sprendimo komponentas. Tiesa, šioje sistemoje jis vadinamas kitaip: eToken VeriSign. Pagrindinis šio sprendimo tikslas – didinti pasitikėjimą internetu sudarytomis operacijomis, jis pagrįstas stipriu dviejų veiksnių autentifikavimu, pagrįstu aparatūros raktu. Tokie eToken NG-OTP produkto OEM pristatymai patvirtina jo kokybę ir atitiktį visoms OATH specifikacijoms.

„eToken“ serijos įrenginiai yra gana plačiai paplitę Rusijoje. Tokie pirmaujantys gamintojai kaip „Microsoft“, „Cisco“, „Oracle“, „Novell“ ir kt. teikia savo produktų palaikymą (eToken „track record“ turi daugiau nei 200 įdiegimų su informacijos saugos programomis).

Taigi, „eToken NG-OTP“ yra pagrįstas kitu aparatūros raktu, populiariausias linijos modelis yra „eToken PRO“. Tai visavertis saugios atminties lustinės kortelės lusto pagrindu sukurtas žetonas, kuris gali būti naudojamas saugiai saugoti pagrindinę informaciją, vartotojų profilius ir kitus konfidencialius duomenis, atlikti kriptografinius skaičiavimus aparatinėje įrangoje ir dirbti su asimetriniais raktais bei X.509 sertifikatais.

eToken NG-OTP dongle, be modulių, įgyvendinančių aukščiau aprašytas galimybes, yra ir aparatinės įrangos vienkartinio slaptažodžio generatorius (4 pav.). Jis veikia pagal „sinchronizavimo pagal įvykį“ metodą. Tai yra patikimiausias OTP technologijos įgyvendinimas tarp sinchroninių parinkčių (su mažesne desinchronizacijos rizika). Vienkartinio slaptažodžio generavimo algoritmas, įdiegtas eToken NG-OTP rakte, buvo sukurtas kaip OATH iniciatyvos dalis (jis pagrįstas HMAC technologija). Jo esmė slypi HMAC-SHA-1 vertės apskaičiavime, o vėliau – šešių skaitmenų sutrumpinimas (pasirinkimas) iš gautos 160 bitų vertės. Jie naudojami kaip tas pats vienkartinis slaptažodis.

Įdomi eToken NG-OTP kombinuoto rakto savybė yra galimybė naudoti vienkartinius slaptažodžius net neprijungus rakto prie kompiuterio. OTP generavimo procesą galima pradėti paspaudus specialų mygtuką, esantį ant įrenginio korpuso (5 pav.), o jo rezultatas tokiu atveju bus rodomas įtaisytame LCD ekrane. Šis metodas leidžia naudoti OTP technologiją net įrenginiuose, kuriuose nėra USB prievadų (išmanieji telefonai, delniniai kompiuteriai, mobilieji telefonai ir kt.) ir kompiuteriuose, kuriuose jie yra užblokuoti.

Patikimiausias yra mišrus nagrinėjamo rakto veikimo režimas. Norint jį naudoti, įrenginys turi būti prijungtas prie kompiuterio. Čia kalbame apie dviejų veiksnių autentifikavimą, kuris įgyvendinamas keliais būdais. Vienu atveju, norint gauti prieigą prie tinklo, jam įvesti reikia naudoti paties vartotojo slaptažodį, taip pat OTP reikšmę. Kita parinktis reikalauja vienkartinio slaptažodžio ir OTP PIN reikšmės (rodomos klavišo ekrane).

Natūralu, kad eToken NG-OTP raktas gali veikti kaip standartinis USB prieigos raktas – vartotojo autentifikavimui naudojant skaitmeninius sertifikatus ir PKI technologiją, asmeniniams raktams saugoti ir pan. susiję su saugios nuotolinės prieigos ir dviejų veiksnių autentifikavimo poreikiu. Tokių hibridinių raktų naudojimas įmonės mastu leidžia vartotojams dirbti su savo raktais tiek biure, tiek už jo ribų. Šis metodas sumažina informacijos apsaugos sistemos sukūrimo išlaidas, nesumažinant jos patikimumo.

Apibendrinant

Taigi, OTP vienkartinių slaptažodžių koncepcija kartu su šiuolaikiniais kriptografijos metodais gali būti naudojama patikimoms nuotolinio autentifikavimo sistemoms įdiegti. Ši technologija turi daug reikšmingų pranašumų. Pirma, tai yra patikimumas. Šiandien nėra tiek daug būdų, kaip tikrai „stiprus“ vartotojo autentifikavimas perduodant informaciją atvirais ryšio kanalais. Tuo tarpu ši problema tampa vis dažnesnė. Ir vienkartiniai slaptažodžiai yra vienas iš perspektyviausių sprendimų.

Antras vienkartinių slaptažodžių privalumas – „standartinių“ kriptografinių algoritmų naudojimas. Tai reiškia, kad esami patobulinimai puikiai tinka autentifikavimo sistemai naudojant OTP įdiegti. Tiesą sakant, tai aiškiai įrodo tą patį eToken NG-OTP raktą, kuris yra suderinamas su vietiniais kriptovaliutų tiekėjais. Tokie žetonai gali būti naudojami esamose įmonių apsaugos sistemose jų nerestruktūrizuojant. Dėl to vienkartinio slaptažodžio technologija gali būti įdiegta palyginti mažomis sąnaudomis.

Kitas vienkartinių slaptažodžių pliusas yra tas, kad apsauga silpnai priklauso nuo žmogiškojo faktoriaus. Tiesa, tai galioja ne visiems jo įgyvendinimams. Kaip jau minėjome, daugelio vienkartinių slaptažodžių programų patikimumas priklauso nuo naudojamo PIN kodo kokybės. Aparatinės įrangos generatoriai, pagrįsti USB žetonais, naudoja visavertį dviejų veiksnių autentifikavimą. Ir galiausiai ketvirtas OTP koncepcijos privalumas – patogumas vartotojams. Gaukite prieigą prie reikalinga informacija naudoti vienkartinius slaptažodžius nėra sudėtingiau nei naudoti statinius raktinius žodžius šiam tikslui. Ypač malonu, kad kai kurios nagrinėjamos technologijos aparatinės įrangos įdiegtos gali būti naudojamos bet kuriame įrenginyje, nepriklausomai nuo jame esančių prievadų ir įdiegtos programinės įrangos.

Vienkartinis slaptažodis

Naudojamas patvirtinti operacijai, atliktai internete, pavyzdžiui, nuotolinėje bankininkystės sistemoje. Bankininkystėje labiausiai paplitęs būdas pateikti vienkartinį slaptažodį yra SMS žinutė, kuri siunčiama klientui, atliekančiam operaciją internetinės bankininkystės sistemoje.

Be to, vienkartinius slaptažodžius bankas gali išduoti ant vadinamosios nutrinamos kortelės – plastikinės kortelės, ant kurios slaptažodžiai paslėpti už nutrinamo dangtelio. Tokiu atveju klientas, gavęs iš internetinės bankininkystės sistemos nurodymą įvesti vienkartinį slaptažodį (su konkrečiu serijos numeriu), ištrina kortelėje esantį dangtelį prie norimo numerio ir įveda kodą į sistemą.

Tai praktikuojama, tačiau laikui bėgant vienkartinių slaptažodžių sąrašo išdavimo bankomate metodas praranda aktualumą – čekis. Kaip ir nutrinamos kortelės slaptažodžiai, jie turi eilės numerius ir įvedami internetinės bankininkystės sistemos kryptimi.

Kovodami su sukčiavimu bankai vis dažniau naudoja vienkartinius slaptažodžius ne tik patvirtinimui finansines operacijas, bet ir pirminiam prisijungimui prie internetinės bankininkystės sistemos.

Paprastai, kredito organizacijos nemokamai išduoti korteles ar spaudinius su vienkartiniais slaptažodžiais, tačiau taip nutinka ne visada. Taigi „Uralsib“ vienkartinių raktų rinkinys, skirtas prisijungti prie internetinės bankininkystės sistemos, klientui kainuos 50 rublių, „Master Bank“ kintamo kodo kortelė (kurioje yra 132 numeriai) klientui kainuoja 200 rublių.

Kai kurios internetinės bankininkystės sistemos, tokios kaip Maskvos bankas, SMP bankas, siūlo žetoną – elektroninį vienkartinių kodų generatorių. O „Master Bank“ įdiegia nešiojamiesiems įrenginiams skirtą aplikaciją, kuri taip pat leidžia generuoti vienkartinius kodus.

Pažiūrėkite, kas yra „vienkartinis slaptažodis“ kituose žodynuose:

Vienkartinis slaptažodis- dinamiškai besikeičiantis slaptažodis OTP generatorius yra savarankiškas nešiojamas elektroninis įrenginys, galintis generuoti ir rodyti integruotame LCD ekrane skaitmeniniai kodai. VASCO Digipass šeimos prietaisams mechanizmas… … Techninis vertėjo vadovas

Vienkartinis slaptažodis- VTB24 banko nutrinama kortelė su vienkartiniais slaptažodžiais Vienkartinis slaptažodis (angl. one time password, OTP) yra slaptažodis, galiojantis ... Wikipedia

Vienkartinis bloknotas- Vernamo šifras (kitas pavadinimas: angl. One time pad schema of one-time pads) kriptografijoje – simetriška šifravimo sistema, kurią 1917 m. išrado AT T darbuotojai majoras Josephas Maubornas ir Gilbertas Vernamas. Vernamo šifras yra ... ... Vikipedija

Vienkartinis slaptažodis - Plastikinė kortelė su vienkartiniais slaptažodžiais Vienkartinis slaptažodis yra slaptažodis, kuris galioja tik vienam autentifikavimo procesui ribotą laiką. Vienkartinio slaptažodžio pranašumas prieš statinį slaptažodį ... ... Vikipedija

SecurID- RSA SecurID RSA SecurID logotipas ... Vikipedija

Autentifikavimas- (angl. Authentication) autentifikavimo procedūra... Vikipedija

Autentifikavimas- Autentifikavimas – jo pateikto identifikatoriaus priklausymo prie prieigos subjektui patikrinimas; autentiškumo patvirtinimas ... Vikipedija

Laiku pagrįstas vienkartinio slaptažodžio algoritmas- TOTP (Time Based One Time Password Algorithm, RFC 6238.) OATH algoritmas, skirtas generuoti vienkartinius slaptažodžius saugiam autentifikavimui, kuris yra HOTP (HMAC pagrįstas vienkartinio slaptažodžio algoritmas) patobulinimas. Tai vienpusis algoritmas ... ... Vikipedija

Iššūkis-atsakymas (anti-spam)- Iššūkio atsakymas – vartotojo autentifikavimo strategija, tikrinant jo reakcijos teisingumą į nenuspėjamą sistemos užklausą. Dažniausiai tokiu patikrinimu siekiama atskirti roboto programą nuo tikras asmuo.… … Vikipedija

Vernamo šifras- (kitas pavadinimas: vienkartinių trinkelių schema) kriptografijoje, simetriška šifravimo sistema, kurią 1917 m. išrado AT T darbuotojai majoras Josephas Maubornas ir Gilbertas Vernamas. Vernamo šifras ... ... Vikipedija

Vienkartinis slaptažodis(vienkartinis slaptažodis, OTP) yra slaptažodis, galiojantis tik vieną seansą. Vienkartinio slaptažodžio galiojimas taip pat gali būti apribotas iki tam tikro laiko. Vienkartinio slaptažodžio pranašumas prieš statinį yra tas, kad slaptažodžio negalima naudoti pakartotinai. Taigi užpuolikas, perėmęs duomenis iš sėkmingo autentifikavimo seanso, negali naudoti nukopijuoto slaptažodžio, kad pasiektų apsaugotą informacinę sistemą. Vienkartinių slaptažodžių naudojimas pats savaime neapsaugo nuo atakų, pagrįstų aktyviais autentifikavimui naudojamo ryšio kanalo trukdžiais (pavyzdžiui, nuo „man-in-the-middle“ atakų).

Vienkartiniams slaptažodžiams sukurti naudojamas vienkartinis slaptažodžių generatorius, kurį gali naudoti tik šis vartotojas. Paprastai vienkartiniai slaptažodžiai pateikiami kaip skaičių rinkinys ir naudojami norint pasiekti nuotolinių paslaugų sistemas. Šis, vidinis Informacinės sistemos organizacijose.

Bankininkystėje labiausiai paplitęs būdas pateikti vienkartinį slaptažodį yra SMS žinutė, kurią bankas siunčia klientui, kuris išlaidauja internetinės bankininkystės sistemoje.

Be to, vienkartinius slaptažodžius bankas gali išduoti ant vadinamosios nutrinamos kortelės – plastikinės kortelės, ant kurios slaptažodžiai paslėpti už nutrinamo dangtelio. Tokiu atveju klientas, gavęs iš internetinės bankininkystės sistemos nurodymą įvesti vienkartinį slaptažodį (su konkrečiu serijos numeriu), ištrina kortelėje esantį dangtelį prie norimo numerio ir įveda kodą į sistemą.

Tai praktikuojama, tačiau laikui bėgant vienkartinių slaptažodžių sąrašo išdavimo metodas čekyje praranda savo aktualumą. Kaip ir nutrinamos kortelės slaptažodžiai, jie turi eilės numerius ir įvedami internetinės bankininkystės sistemos kryptimi.

Kovodami su sukčiavimu, bankai vis dažniau naudoja vienkartinius slaptažodžius ne tik finansinėms operacijoms patvirtinti, bet ir pirminiam patekimui į internetinės bankininkystės sistemą.

Kai kurios internetinės bankininkystės sistemos siūlo elektroninį vienkartinių kodų generatorių.

OTP generavimo algoritmai dažniausiai naudoja atsitiktinius skaičius. Tai būtina, nes kitaip būtų nesunku numatyti tolesnius slaptažodžius, remiantis žiniomis apie ankstesnius. Konkrečių OTP algoritmų detalės labai skiriasi. Įvairūs požiūriai Norėdami sukurti vienkartinius slaptažodžius, pateikiami toliau.

1. Naudojant matematinius algoritmus, kuriant naują slaptažodį pagal ankstesnius (slaptažodžiai iš tikrųjų sudaro grandinę ir turi būti naudojami tam tikra tvarka).
2. Remiantis laiko sinchronizavimu tarp serverio ir kliento, pateikiant slaptažodį (slaptažodžiai galioja trumpą laiką).
3. Naudojant matematinį algoritmą, kai naujas slaptažodis pagrįstas užklausa (pavyzdžiui, serverio pasirinktu atsitiktiniu skaičiumi arba gaunamo pranešimo dalimis) ir (arba) skaitikliu.

Vartotojo ID (arba prisijungimas) ir nuolatinis slaptažodis naudojami kiekvieną kartą, kai įeinate į asmeninę Sberbank Online sistemos paskyrą. Šį pirmąjį apsaugos žingsnį papildo vienkartinis slaptažodis, siunčiamas SMS žinute.

„Sberbank Online“ sistemoje naudojami dviejų tipų vienkartiniai slaptažodžiai. Pirmąjį jau minėjome, tai slaptažodžiai, siunčiami į mobilųjį telefoną, prijungtą prie paslaugos Mobilusis bankas„Sberbank“. Antrasis tipas yra čekis su 20 slaptažodžių sąrašu, gautu per galinį įrenginį.
Vienkartiniai slaptažodžiai, gauti SMS žinute, laikomi saugesniais nei atspausdinti ant čekio, todėl kai kurias operacijas „Sberbank Online“ galima atlikti tik naudojant tokius slaptažodžius.

Saugumo sumetimais, mokėjimo operacija, operacijos metu į mobilųjį telefoną išsiunčiamas vienkartinis SMS slaptažodis, o SMS žinutėje nurodomi ir šios operacijos parametrai, kuriems šis slaptažodis skirtas.
Vienkartinis SMS slaptažodis galioja tik konkrečiai operacijai patvirtinti. Generuojant kitą per Mobilųjį banką gautą vienkartinį slaptažodį, informacija apie ankstesnį slaptažodį sunaikinama.

Kokius vienkartinius slaptažodžius geriausia naudoti?

Jei kortelė yra prijungta prie Mobiliosios bankininkystės paslaugos, tada įeinant į asmeninę sąskaitą tikrai reikės nurodyti vienkartinį slaptažodį, siunčiamą SMS žinute. Toliau prisijungę turėsite galimybę pasirinkti operacijų patvirtinimo būdą vienkartiniu slaptažodžiu arba slaptažodžiu iš kvito. Su sąlyga, kad šios operacijos patvirtinimas gali būti atliktas naudojant bet kurį iš aprašytų vienkartinių slaptažodžių tipų.
Tai labai patogu, nes mobilusis ryšys kartais SMS žinutė gali „atsisakyti“ arba pavėluoti, nes vienkartinis slaptažodis galioja tik 300 sekundžių. Tada galite naudoti slaptažodžius iš čekio.

Tokiu atveju atsiras toks langas, kuriame bus nurodytas vienkartinio slaptažodžio serijos numeris. Nubraukite jau „naudotus“ slaptažodžius arba uždėkite „varnelę“. Tai būtina, kad žinotumėte, kiek dar slaptažodžių liko čekiu, ir laiku gautumėte naują sąrašą bankomate.

Straipsnis skirtas tik informaciniams tikslams ir jame nėra visos informacijos apie „Sberbank Online“ sistemą. Daugiau Detali informacija Jį galite rasti banko svetainėje.
Taip pat atkreipkite dėmesį į paskelbimo datą. Galbūt iki to laiko dalis informacijos pasikeitė arba yra pasenusi.
Paskelbimo data: 18/10/2015

Vartotojo prisijungimas naudojamas norint patekti į „Sberbank Online“. Kaip susikurti prisijungimo vardą įvesti savo asmeninę paskyrą.

„Sberbank online“ yra moderni paslauga, skirta nuotoliniam „Sberbank“ klientų aptarnavimui internetu. „Sberbank“ sistemos galimybės internetu.

Pervedimas iš kortelės į kortelę „Sberbank Online“. Komisinių suma už pinigų pervedimą per „Sberbank Online“.

Šiandien žmonės dažnai naudojasi internetine bankininkyste mokėdami sąskaitas, apmokėti alimentus ir paskolas. Naujosios technologijos leidžia žmogui, sėdinčiam prie kompiuterio, atsidaryti sąskaitą ar indėlį, patikrinti pinigų likutį savo kortelėje. Naudodamiesi internetine bankininkyste galite žymiai sutaupyti laiko, daugeliu atvejų neišleidžiant pinigų komisiniams. Viskas, ko jums reikia, yra prieiga prie asmeninės paskyros sistemoje Internetinis Sberbank.

Ne visi žino, kaip gauti vienkartinių slaptažodžių sąrašą, kad dar labiau patvirtintų įsipareigojimą Asmeninė paskyra„Sberbank“ operacijos.

Būtinybė gauti identifikavimo duomenis

Norėdami atlikti operacijas su sąskaitomis ir kortelėmis, asmuo pirmiausia turi gauti nuolatinį slaptažodį. Tai galima padaryti keliais būdais, pavyzdžiui, kreiptis į banko skyrių. Dažniausiai duomenims gauti žmonės naudoja bankomatus.

Kortelės turėtojo prašymu generavimas vyksta automatiškai. Vėliau duomenys gali būti pakeisti. Geriausia naudoti sudėtingus derinius, kad padidintumėte asmeninės paskyros saugumo lygį.

Kodėl jums reikia vienkartinio slaptažodžio?

Norint papildomai patikrinti „Sberbank“ kliento tapatybę, reikalingas vienkartinis slaptažodis. Tokia identifikavimo sistema yra būtina:

1. gavus leidimą asmeninėje paskyroje;
2. atliekant įvairias operacijas su savo kortelėmis, indėliais, sąskaitomis per internetinės bankininkystės sistemą.

Yra šių tipų vienkartiniai slaptažodžiai:

• čekius, atspausdintus naudojant bankomatus ar terminalus (jose vienu metu yra 20 skirtingų slaptažodžių);
• slaptažodžiai, gauti iš „Sberbank“ žinute į telefoną tiesiogiai konkrečios operacijos metu.

Kai kurias operacijas „Sberbank Online“ sistemoje galima atlikti tik patvirtinus SMS slaptažodžiu.

Bet kokias pinigines operacijas rekomenduojama atlikti naudojant vienkartinius slaptažodžius. Vartotojas gali išjungti „Sberbank Online“, tačiau tai visiškai neišgelbės jo nuo vienkartinių slaptažodžių naudojimo. Taigi, dirbant su įvairiomis banko programomis, jų įvestis bus reikalinga norint patvirtinti operacijas.

Vienkartinių slaptažodžių gavimas

Yra keletas būdų, kaip gauti vienkartinius slaptažodžius. Reikia nepamiršti, kad norint dirbti internetinės bankininkystės sistemoje Jums reikės prisijungimo ir nuolatinio slaptažodžio.
Per „Sberbank“ bankomatą
Klientas turi turėti Rusijos Federacijos „Sberbank“ debeto (kredito neveiks) kortelę. Tai gali būti atlyginimas arba mokėjimo kortelė. Jei toks yra, tuomet reikia pasiimti su savimi ir eiti į artimiausią terminalą ar bankomatą (jo gavimo tvarka yra identiška).

1. Būtina įdėti kortelę į kortelių skaitytuvą.
2. Sistemos prašymu įveskite patvirtinimo kodą.
3. Atsidarys pagrindinis meniu, kuriame turėtumėte spustelėti skyrių „Sberbank Online and Mobile Bank“. Jei bankomate įdiegta sena programinė įranga, šio elemento ten nebus. Tokiu atveju turėsite spustelėti mygtuką „Interneto paslauga“.
4. Atsidariusiame meniu spustelėkite mygtuką „Gauti vienkartinių slaptažodžių sąrašą“. Bankomatas išspausdins slaptažodžių sąrašą, jų yra 20.

Sąraše esantys slaptažodžiai yra nesenstantys. Jei vartotojas išspausdina naujus slaptažodžius, senieji tampa negaliojantys – jų nebegalima naudoti.

Kad klientui būtų patogiau naudoti slaptažodžius, jie visi turi savo numerį. Internetinės bankininkystės sistema, atlikdama bet kokias operacijas internete, pareikalaus iš vartotojo įvesti vienkartinį slaptažodį su konkrečiu numeriu. Jų prašoma atsitiktine tvarka, todėl reikia atkreipti dėmesį į sistemos pranešimą, kuriame prašoma įvesti vienkartinį slaptažodį.

Būtina atkreipti dėmesį į tai, kad mokėjimai ir pervedimai, patvirtinti vienkartiniu slaptažodžiu iš čekio, negali viršyti 3000 rublių.

Pasibaigus visiems 20 slaptažodžių iš patikrinimo, turite gauti naujus taip pat, kaip ir ankstesnius.

Jei čekis su slaptažodžiais buvo prarastas arba jo duomenys tapo žinomi kam nors kitam, turite nedelsdami atsispausdinti naujus arba blokuoti senus. Norėdami tai padaryti, paskambinkite į kontaktų centrą vienu iš šių numerių –

• +7 (4 9 5 ) 5 0 0 - 5 5 5 0 ;
• +7 (8 0 0 ) 5 5 5 - 5 5 5 0 .

Per SMS
Šis vienkartinių slaptažodžių gavimo būdas yra prieinamas tik tiems klientams, kurie anksčiau yra prisijungę prie savo kortelės Mobiliosios bankininkystės paslaugą. Tai galima padaryti susisiekus su bet kuriuo „Sberbank“ filialu arba naudojant terminalą (bankomatą). Kitas būdas prisijungti prie Mobiliojo banko – paskambinti į kontaktų centrą. Norėdami tai padaryti, turėsite pateikti kontrolės informaciją, kurią geriau pasiruošti iš anksto.

Atlikdamas bet kokią operaciją per „Sberbank Online“, vartotojas į savo mobilųjį telefoną gauna žinutes su vienkartiniais slaptažodžiais (vienas slaptažodis - viena žinutė). Įėjimas turi būti atliekamas per kortelę, prie kurios prijungtas Mobilusis bankas. Kitu atveju turėsite naudoti vienkartinių slaptažodžių sąrašą iš kvito.

Peržiūrėdami išsiųstą žinutę turite įsitikinti, kad operacijos duomenys yra teisingi. Norėdami tai padaryti, turite palyginti „Sberbank Online“ sistemoje įvestus duomenis su SMS žinutėmis.

Kiekvienas vienkartinis slaptažodis naudojamas tik vieną kartą ir negali būti naudojamas pakartotinai. Jei vartotojas paprašė naujo vienkartinio slaptažodžio, senasis atšaukiamas. Jo nebebus galima naudoti.

Žinutės su vienkartiniais slaptažodžiais visada ateina iš Sberbank trumpojo numerio 900. SMS žinutėje nurodomi šie operacijos duomenys:

• kortelės ar sąskaitos, su kuria atliekama operacija, numeris;
• sandorio suma;
• slaptažodį, kad patvirtintumėte operaciją.

Priklausomai nuo atliktos operacijos tipo, gali būti ir kitų duomenų.

Vienkartinių slaptažodžių įvedimo tvarka

Atsižvelgiant į jūsų asmeninės paskyros sistemos nustatymus, jums gali būti leista naudoti vieną ar daugiau operacijų patvirtinimo tipų su vienkartiniais slaptažodžiais. Jei galima naudoti abu būdus, sistema suteiks atlikėjui pasirinkimą prieš patvirtindama.

Jei vartotojas pasirenka patvirtinimą iš čekio, čekio numeris ir slaptažodis atsiras šalia užpildymo lauko.

Jei patvirtinimas ateina į telefoną SMS žinute, gautas slaptažodis turi būti perrašytas jau eilutėje „Įveskite SMS slaptažodį“.

Įvedus slaptažodį, sistema paragins dar kartą patikrinti visą informaciją. Jei visi jie užpildyti teisingai, turite spustelėti mygtuką „Patvirtinti“.

Koks yra geriausias būdas tai gauti?

Jei žmogus žino, kaip naudotis vienkartiniais slaptažodžiais „Online Sberbank“ sistemoje, jam kyla dar vienas klausimas – kuris iš galimų būdų yra patogiausias ir patikimiausias?

Autorizacijai sistemoje naudojant prijungtos kortelės duomenis Mobilusis bankas, žinutėje gauto vienkartinio slaptažodžio įvedimui prireiks bet kokiu atveju. Tačiau operacijas galima patvirtinti bet kokiu vartotojui patogiu būdu. SMS slaptažodžiai ne visada gaunami laiku. Kartais jie siunčiami pavėluotai. Ir kiekvienas iš jų galioja tik 5 minutes. Jei sistema ar mobilusis ryšys sugenda, patvirtinimui geriau naudoti slaptažodžius iš patikrinimo.