După cum arată studiile recente, una dintre cele mai grave probleme pentru companii în domeniul securității informațiilor este accesul neautorizat la sistemele informatice. Potrivit CSI/FBI Computer Crime and Security Survey 2005, 55% dintre companii au raportat încălcări ale datelor anul trecut. Mai mult, în același an, companiile au pierdut în medie 303.000 USD din cauza accesului neautorizat, iar comparativ cu 2004, pierderile au crescut de șase ori.

Desigur, pentru companiile rusești cifrele pierderilor vor fi complet diferite, dar asta nu schimbă problema în sine: accesul neautorizat cauzează daune serioase companiilor, indiferent dacă această conducere este conștientă sau nu.

Este clar că fiabilitatea protecției împotriva acestei amenințări depinde în primul rând de calitatea sistemului de autentificare a utilizatorilor. Astăzi, să vorbim despre securitatea informațiilor fără a fi legat de accesul personalizat și urmărirea tuturor acțiunilor utilizatorilor în rețea pur și simplu nu are sens. Cu toate acestea, când vorbim despre autentificarea utilizatorilor pe computerele incluse în rețeaua locală corporativă, atunci nu există dificultăți deosebite. Piața oferă multe soluții diferite, inclusiv carduri inteligente și chei electronice, instrumente de autentificare biometrică și chiar lucruri exotice precum parolele grafice.

Situația este oarecum diferită dacă utilizatorul trebuie să se conecteze la rețeaua de computere corporative de la distanță, de exemplu, prin Internet. În acest caz, el se poate confrunta cu o serie de probleme, pe care le vom analiza mai detaliat.

Capcanele accesului de la distanță

Fiind într-un mediu de neîncredere (în afara biroului), utilizatorul se confruntă cu nevoia de a introduce o parolă de pe computerul altcuiva (de exemplu, dintr-un Internet cafe). Parolele sunt stocate în cache, ca orice altă informație introdusă în computer și, dacă dorește, altcineva le poate folosi în propriile scopuri egoiste.

Destul de comun astăzi este un astfel de tip de fraudă informatică precum sniffing (din engleză sniff - sniff) - interceptarea pachetelor de rețea de către un atacator pentru a identifica informațiile de interes pentru el. Folosind această tehnică, un hacker poate „snifui” parola utilizatorului și o poate folosi pentru acces neautorizat.

Protecția simplă prin parolă (în special pentru accesul de la distanță) este testată serios de o nouă generație de programe spyware care intră în tăcere în computerul unui utilizator în timpul „întoarcerii” normale a paginilor Web. Virusul poate fi programat să filtreze fluxurile de informații ale unui anumit computer pentru a identifica combinații de caractere care pot servi drept parole. „Spionul” trimite aceste combinații creatorului său și singurul lucru care îi mai rămâne de făcut este să dezvăluie parola necesară.

Este clar că metoda hardware de organizare a accesului securizat la rețea este de câteva ori mai fiabilă decât simplele parole, dar cum poți folosi un smart card sau o cheie USB în timp ce ești din nou departe de la birou? Cel mai probabil, acest lucru nu va reuși, deoarece primul dispozitiv are nevoie de cel puțin un cititor, al doilea are nevoie de un port USB, care poate fi blocat (Internet cafe) sau, mai rău, pur și simplu poate să nu fie în dispozitivul de pe care utilizatorul încearcă să obțină acces (PDA, telefon mobil, smartphone etc.). Inutil să spun, pentru funcționarea hardware-ului - carduri inteligente și chei USB - aveți nevoie de software-ul adecvat, care este greu de instalat în același Internet cafe.

Între timp, situațiile în care este necesar să primiți sau să trimiteți informații de la distanță apar destul de des. Luați, de exemplu, sistemele bancare electronice: este ușor de imaginat o situație în care un utilizator are nevoie de acces la resurse bancare securizate pentru a-și gestiona contul de la distanță. Astăzi, unele bănci au realizat nevoia de autorizare bazată pe hardware folosind o cheie USB. Dar din mai multe motive descrise mai sus, este departe de a fi întotdeauna posibil să-l folosești.

Specificul afacerii multora companii mari adesea îi obligă să ofere acces la propriile resurse utilizatorilor terți – parteneri, clienți, furnizori. Astăzi, în Rusia, un astfel de tip de cooperare precum externalizarea câștigă în mod activ amploare: o companie subcontractantă poate avea nevoie de acces la resursele protejate ale clientului pentru a efectua lucrări la o comandă.

Necesitatea de a se conecta la o rețea corporativă cu o schemă de autentificare puternică, cu doar un PDA sau un smartphone la îndemână, poate deveni o problemă serioasă dacă utilizatorul se află la o conferință, negocieri sau alte evenimente de afaceri. Doar pentru aplicatii mobile, precum și pentru a organiza accesul la informațiile necesare din acele locuri în care este imposibil să se instaleze software special, conceptul de unică parole OTP- Parolă de unică folosință.

Parola unică: introdusă și uitată

O parolă unică este un cuvânt cheie care este valabil pentru un singur proces de autentificare pentru o perioadă limitată de timp. O astfel de parolă rezolvă complet problema unei posibile interceptări a informațiilor sau a observației banale. Chiar dacă un atacator poate obține parola „victimei”, șansele de a o folosi pentru a obține acces sunt zero.

Primele implementări ale conceptului de parole unice s-au bazat pe un set static de cuvinte cheie, adică mai întâi a fost generată o listă de parole (chei, cuvinte de cod etc.), pe care utilizatorii le-ar putea folosi apoi. Un mecanism similar a fost folosit în primul sisteme bancare cu posibilitatea gestionării conturilor de la distanță. La activarea acestui serviciu, clientul a primit un plic cu o listă a parolelor sale. Apoi, de fiecare dată când a accesat sistemul, a folosit următorul cuvânt cheie. După ce a ajuns la sfârșitul listei, clientul a mers la bancă pentru una nouă. Această soluție a avut o serie de dezavantaje, principalul dintre acestea fiind fiabilitatea scăzută. Totuși, este periculos să porți în mod constant o listă de parole cu tine, este ușor să o pierzi sau poate fi furată de intruși. Și atunci, lista nu este nesfârșită, dar dacă la momentul potrivit nu se va putea ajunge la bancă?

Din fericire, astăzi situația s-a schimbat în cel mai radical mod. În general, în țările occidentale, parolele unice pentru autentificare în sistemele informaționale au devenit obișnuite. Cu toate acestea, la noi tehnologia OTP a rămas inaccesibilă până de curând. Și abia recent, conducerea companiei a început să realizeze cât de mult crește riscul accesului neautorizat atunci când lucrează de la distanță. Cererea, după cum știți, creează ofertă. Acum, produsele care folosesc parole unice pentru autentificarea de la distanță au început treptat să-și ia locul pe piața rusă.

LA tehnologii moderne Autentificarea OTP utilizează generarea dinamică a cuvintelor cheie folosind algoritmi criptografici puternici. Cu alte cuvinte, datele de autentificare sunt rezultatul criptării unei valori inițiale cu cheia privată a utilizatorului. Aceasta informatie atât clientul cât și serverul îl au. Nu este transmis prin rețea și nu este disponibil pentru interceptare. Informațiile cunoscute de ambele părți ale procesului de autentificare sunt utilizate ca valoare inițială și o cheie de criptare este creată pentru fiecare utilizator atunci când este inițializată în sistem (Fig. 1).

Este de remarcat faptul că, în această etapă a dezvoltării tehnologiilor OTP, există sisteme care utilizează atât criptografia simetrică, cât și asimetrică. În primul caz, ambele părți trebuie să aibă cheia secretă. În al doilea, doar utilizatorul are nevoie de cheia secretă, iar serverul de autentificare o are publică.

Implementarea

Tehnologiile OTP au fost dezvoltate ca parte a inițiativei industriei de autentificare deschisă (OATH) lansată de VeriSign în 2004. Esența acestei inițiative este dezvoltarea unei specificații standard pentru o autentificare cu adevărat puternică pentru diferite servicii de internet. Mai mult, vorbim de o determinare în doi factori a drepturilor utilizatorului, timp în care acesta din urmă trebuie să „arată” un smart card sau un token USB și parola sa. Astfel, parolele unice pot deveni în cele din urmă mijlocul standard de autentificare la distanță în diferite sisteme.

Astăzi, mai multe opțiuni pentru implementarea sistemelor de autentificare cu parolă unică au fost dezvoltate și sunt utilizate în practică.

Metoda cerere-răspuns. Principiul funcționării acestuia este următorul: la începutul procedurii de autentificare, utilizatorul își trimite login-ul la server. Ca răspuns, acesta din urmă generează un șir aleator și îl trimite înapoi. Utilizatorul criptează aceste date folosind cheia sa și le returnează serverului. Serverul în acest moment „găsește” cheia secretă a utilizatorului dat în memoria sa și codifică șirul original cu ajutorul său. În continuare, se efectuează o comparație a ambelor rezultate de criptare. Dacă se potrivesc complet, autentificarea este considerată reușită. Această metodă de implementare a tehnologiei cu parolă unică se numește asincronă, deoarece procesul de autentificare nu depinde de istoricul utilizatorului cu serverul și de alți factori.

Metoda „Numai răspuns”.În acest caz, algoritmul de autentificare este oarecum mai simplu. La începutul procesului, software-ul sau hardware-ul utilizatorului generează în mod independent datele inițiale, care vor fi criptate și trimise la server pentru comparare. În acest caz, valoarea cererii anterioare este utilizată în procesul de creare a unui rând. Serverul are și el aceste informații; cunoscând numele de utilizator, găsește valoarea solicitării sale anterioare și generează exact același șir folosind același algoritm. Criptând-o folosind cheia secretă a utilizatorului (este și stocată pe server), serverul primește o valoare care trebuie să se potrivească complet cu datele trimise de utilizator.

Metoda de sincronizare a timpului.În ea, citirile curente ale temporizatorului unui dispozitiv special sau computer pe care o persoană lucrează sunt folosite ca linie inițială. În acest caz, nu se utilizează de obicei o indicație exactă a timpului, ci intervalul curent cu limite prestabilite (de exemplu, 30 s). Aceste date sunt criptate cu o cheie privată și formă deschisă sunt trimise la server împreună cu numele de utilizator. Serverul, la primirea unei cereri de autentificare, efectuează aceleași acțiuni: primește ora curentă de la cronometrul său și o criptează. După aceea, el trebuie să compare doar două valori: calculate și primite de la un computer la distanță.

Metoda „sincronizare după eveniment”.În principiu, această metodă este aproape identică cu cea anterioară, fiind folosit ca șir inițial doar numărul de proceduri de autentificare reușite efectuate înainte de cea actuală, nu și timpul. Această valoare este calculată de ambele părți separat una de cealaltă.

În unele sisteme sunt implementate așa-numitele metode mixte, în care două tipuri de informații sau chiar mai multe sunt folosite ca valoare inițială. De exemplu, există sisteme care iau în considerare atât contoarele de autentificare, cât și temporizatoarele încorporate. Această abordare evită multe dezavantaje ale metodelor individuale.

Vulnerabilitatea tehnologiei OTP

Tehnologia parolelor unice este considerată destul de fiabilă. Cu toate acestea, de dragul obiectivității, observăm că are și dezavantaje la care sunt supuse toate sistemele care implementează principiul OTP în forma sa pură. Astfel de vulnerabilități pot fi împărțite în două grupuri. Prima include „găuri” potențial periculoase inerente tuturor metodelor de implementare. Cea mai gravă dintre ele este posibilitatea de falsificare a serverului de autentificare. În acest caz, utilizatorul își va trimite datele direct atacatorului, care le poate folosi imediat pentru a accesa serverul real. În cazul metodei „cerere-răspuns”, algoritmul de atac este ceva mai complicat (calculatorul hackerului trebuie să joace rolul unui „intermediar”, trecând prin procesul de schimb de informații între server și client). Cu toate acestea, merită remarcat faptul că, în practică, nu este deloc ușor să efectuați un astfel de atac.

O altă vulnerabilitate este inerentă doar metodelor sincrone și este legată de faptul că există riscul desincronizării informațiilor pe server și în software-ul sau hardware-ul utilizatorului. Să presupunem că, într-un anumit sistem, datele inițiale sunt citirile temporizatoarelor interne și, din anumite motive, acestea nu mai coincid unele cu altele. În acest caz, toate încercările de autentificare ale utilizatorului vor eșua (eroare de primul tip). Din fericire, în astfel de cazuri, nu poate apărea o eroare de al doilea fel (admiterea de „străin”). Cu toate acestea, probabilitatea de apariție a situației descrise este, de asemenea, extrem de mică.

Unele atacuri sunt aplicabile numai anumitor moduri de implementare a tehnologiei cu parolă unică. De exemplu, să luăm din nou metoda de sincronizare a temporizatorului. După cum am spus deja, timpul nu este luat în considerare în el cu o precizie de secundă, ci într-un interval predeterminat. Acest lucru se face ținând cont de posibilitatea desincronizării cronometrului, precum și de apariția întârzierilor în transmiterea datelor. Și tocmai acest moment îl poate folosi teoretic un atacator pentru a obține acces neautorizat la un sistem de la distanță. Pentru început, hackerul „ascultă” traficul de rețea de la utilizator la serverul de autentificare și interceptează login-ul și parola unică trimise de „victimă”. Apoi își blochează imediat computerul (îl supraîncărcă, întrerupe conexiunea etc.) și trimite date de autorizare de la el însuși. Și dacă atacatorul reușește să facă acest lucru atât de repede încât intervalul de autentificare nu are timp să se schimbe, atunci serverul îl recunoaște ca utilizator înregistrat.

Este clar că pentru un astfel de atac, un atacator trebuie să fie capabil să asculte traficul, precum și să blocheze rapid computerul clientului, iar aceasta nu este o sarcină ușoară. Cel mai simplu mod de a îndeplini aceste condiții este atunci când atacul este planificat în avans, iar pentru a se conecta la sistemul de la distanță, „victima” va folosi un computer dintr-o rețea locală străină. În acest caz, hackerul poate „lucra” pe unul dintre PC-uri în prealabil, putându-l controla de pe o altă mașină. Vă puteți proteja de un astfel de atac numai folosind mașini de lucru „de încredere” (de exemplu, propriul laptop sau PDA) și canale de acces la Internet „independente” securizate (de exemplu, folosind SSL).

Calitatea implementarii

Fiabilitatea oricărui sistem de securitate depinde în mare măsură de calitatea implementării acestuia. Toți au solutii practice există defecte pe care atacatorii le pot folosi în propriile scopuri, iar aceste „găuri” de multe ori nu au nicio legătură directă cu tehnologia implementată. Această regulă este pe deplin aplicabilă sistemelor de autentificare bazate pe parole unice. După cum sa menționat mai sus, acestea se bazează pe utilizarea algoritmilor criptografici. Acest lucru impune anumite obligații dezvoltatorilor unor astfel de produse - la urma urmei, performanța slabă a oricărui algoritm sau, de exemplu, un generator de numere aleatorii poate pune în pericol securitatea informațiilor.

Generatoarele de parole unice sunt implementate în două moduri: software și hardware. Prima dintre ele, desigur, este mai puțin de încredere. Faptul este că utilitarul client trebuie să stocheze cheia secretă a utilizatorului. Acest lucru se poate face mai mult sau mai puțin sigur doar prin criptarea cheii în sine pe baza unei parole personale. Totodată, trebuie avut în vedere faptul că utilitarul client trebuie instalat pe dispozitivul (PDA, smartphone etc.) de pe care acest moment sesiunea rulează. Astfel, se dovedește că autentificarea unui angajat depinde de o singură parolă, în ciuda faptului că există multe modalități de a afla sau de a o ghici. Și aceasta este departe de singura vulnerabilitate a generatorului de parole unice software.

O varietate de dispozitive pentru implementarea hardware a tehnologiilor OTP sunt incomparabil mai fiabile. De exemplu, există dispozitive care arată ca un calculator (Fig. 2): atunci când introduceți un set de numere trimis de server în ele, acestea generează o parolă unică bazată pe cheia secretă încorporată („cerere-răspuns "metoda). Principala vulnerabilitate a unor astfel de dispozitive este legată de faptul că pot fi furate sau pierdute. Puteți proteja sistemul de un intrus numai dacă utilizați o protecție fiabilă a memoriei dispozitivului cu o cheie secretă.

Orez. 2. Dispozitiv RSA SecurID OTP.

Această abordare este implementată în carduri inteligente și jetoane USB. Pentru a-și accesa memoria, utilizatorul trebuie să introducă codul PIN. Adăugăm că astfel de dispozitive sunt protejate de selecția codului PIN: atunci când îl introduceți de trei ori valoare gresita sunt blocate. Stocarea de încredere a informațiilor cheie, generarea hardware a perechilor de chei și executarea operațiunilor criptografice într-un mediu de încredere (pe un cip de card inteligent) nu permit unui atacator să extragă cheia secretă și să facă o copie a dispozitivului de generare a parolei unice.

Exemplu de implementare OTP

Deci, cardurile inteligente și jetoanele USB sunt considerate cele mai fiabile generatoare de parole unice, protejate de aproape toate vulnerabilitățile de implementare. Mai mult, acestea din urmă sunt în mod clar mai convenabile: pot fi folosite pe orice PC sau laptop fără cititoare suplimentare care sunt necesare pentru cardurile inteligente. Mai mult, există o implementare a unui dongle USB cu tehnologie OTP, care poate funcționa fără un port USB. Un exemplu de astfel de cheie electronică este eToken NG-OTP de la Aladdin (Fig. 3).

Este de remarcat faptul că Aladdin (http://www.aladdin.com) este implicat activ în promovarea inițiativei OATH menționată mai sus, iar cheia discutată aici a fost aleasă ca componentă principală a soluției VeriSign Unified Authentication. Adevărat, este numit diferit în acest sistem: eToken VeriSign. Scopul principal al acestei soluții este creșterea încrederii în tranzacțiile încheiate prin internet și se bazează pe o autentificare puternică cu doi factori bazată pe o cheie hardware. Astfel de livrări OEM ale produsului eToken NG-OTP confirmă calitatea și conformitatea cu toate specificațiile OATH.

Dispozitivele din seria eToken sunt destul de răspândite în Rusia. Astfel de producători de top precum Microsoft, Cisco, Oracle, Novell etc. își oferă suportul în produsele lor („registrul” eToken are peste 200 de implementări cu aplicații de securitate a informațiilor).

Deci, eToken NG-OTP se bazează pe o altă cheie hardware, cel mai popular model din linie este eToken PRO. Este un token cu drepturi depline bazat pe un cip de card inteligent de memorie securizat care poate fi folosit pentru a stoca în siguranță informații despre cheie, profiluri de utilizator și alte date confidențiale, pentru a efectua calcule criptografice în hardware și pentru a lucra cu chei asimetrice și certificate X.509.

În dongle-ul eToken NG-OTP, pe lângă modulele care implementează capabilitățile descrise mai sus, există un generator hardware de parole unice (Fig. 4). Funcționează după metoda „sincronizării după eveniment”. Aceasta este cea mai fiabilă implementare a tehnologiei OTP dintre opțiunile sincrone (cu risc mai mic de desincronizare). Algoritmul de generare a parolei unică implementat în cheia eToken NG-OTP a fost dezvoltat ca parte a inițiativei OATH (se bazează pe tehnologia HMAC). Esența sa constă în calculul valorii HMAC-SHA-1 și apoi în operația de trunchiere (selectare) a șase cifre din valoarea rezultată de 160 de biți. Acestea servesc ca aceeași parolă unică.

O caracteristică interesantă a cheii combinate eToken NG-OTP este capacitatea de a folosi parole unice chiar și fără a conecta cheia la un computer. Procesul de generare a OTP poate fi pornit prin apăsarea unui buton special situat pe corpul dispozitivului (Fig. 5), iar rezultatul acestuia în acest caz va fi afișat pe afișajul LCD încorporat. Această abordare face posibilă utilizarea tehnologiei OTP chiar și pe dispozitivele care nu au porturi USB (smartphone-uri, PDA-uri, telefoane mobile etc.) și pe computerele unde acestea sunt blocate.

Cel mai fiabil este modul mixt de funcționare al cheii considerate. Pentru a-l utiliza, dispozitivul trebuie să fie conectat la un PC. Aici vorbim despre autentificarea cu doi factori, care este implementată în mai multe moduri. Într-un caz, pentru a obține acces la rețea, este necesar să folosiți parola proprie a utilizatorului pentru a o introduce, precum și valoarea OTP. Cealaltă opțiune necesită o parolă unică și o valoare PIN OTP (afișată pe ecranul cheii).

Desigur, cheia eToken NG-OTP poate funcționa ca un token USB standard - pentru autentificarea utilizatorului folosind certificate digitale și tehnologie PKI, pentru stocarea cheilor personale etc. Astfel, este recomandabil să utilizați produsul în cauză într-o gamă largă de proiecte legate de necesitatea accesului de la distanță securizat și a autentificării cu doi factori. Utilizarea unor astfel de chei hibride la scară întreprindere permite utilizatorilor să lucreze cu cheile lor atât în ​​birou, cât și în afara acestuia. Această abordare reduce costul creării unui sistem de securitate a informațiilor fără a reduce fiabilitatea acestuia.

Rezumând

Deci, conceptul de parole unice OTP, cuplat cu metode criptografice moderne, poate fi folosit pentru a implementa sisteme de autentificare la distanță fiabile. Această tehnologie are o serie de avantaje semnificative. În primul rând, este fiabilitatea. Astăzi, nu există atât de multe modalități de autentificare cu adevărat „puternică” a utilizatorului atunci când se transmit informații prin canale de comunicare deschise. Între timp, această problemă devine din ce în ce mai frecventă. Și parolele unice sunt una dintre cele mai promițătoare soluții ale sale.

Al doilea avantaj al parolelor unice este utilizarea algoritmilor criptografici „standard”. Aceasta înseamnă că dezvoltările existente sunt potrivite pentru a implementa un sistem de autentificare folosind OTP. De fapt, acest lucru demonstrează în mod clar aceeași cheie eToken NG-OTP, care este compatibilă cu furnizorii de criptomonede autohtoni. Astfel de jetoane pot fi utilizate în sistemele de securitate corporative existente fără a le restructura. Ca rezultat, tehnologia cu parolă unică poate fi implementată la un cost relativ scăzut.

Un alt plus al parolelor unice este că protecția depinde slab de factorul uman. Adevărat, acest lucru nu se aplică tuturor implementărilor sale. După cum am spus, fiabilitatea multor programe cu parole unice depinde de calitatea PIN-ului utilizat. Generatoarele hardware bazate pe jetoane USB folosesc autentificare cu doi factori cu drepturi depline. Și, în sfârșit, al patrulea avantaj al conceptului OTP este confortul său pentru utilizatori. Obțineți acces la informatie necesara utilizarea parolelor unice nu este mai dificilă decât utilizarea cuvintelor cheie statice în acest scop. Este deosebit de plăcut că unele implementări hardware ale tehnologiei avute în vedere pot fi folosite pe orice dispozitiv, indiferent de porturile existente pe acesta și de software-ul instalat.

Parolă de unică folosință

Folosit pentru a confirma o tranzacție efectuată pe Internet, cum ar fi într-un sistem bancar la distanță. În industria bancară, cea mai comună modalitate de a furniza o parolă unică este un mesaj SMS, care este trimis unui client care efectuează o tranzacție într-un sistem bancar prin internet.

În plus, parolele unice pot fi emise de bancă pe așa-numitul card răzuibil - un card de plastic pe care parolele sunt ascunse în spatele unui capac șters. În acest caz, clientul, după ce a primit o instrucțiune de la sistemul de internet banking pentru a introduce o parolă unică (cu un anumit număr de serie), șterge capacul de lângă numărul dorit de pe card și introduce codul în sistem.

Se practică, dar în timp, metoda de emitere a unei liste de parole unice la un bancomat își pierde relevanța - la un control. Asemenea parolelor de pe un card răzuibil, acestea au numere secvențiale și sunt introduse în direcția sistemului de internet banking.

În lupta împotriva fraudei, băncile folosesc din ce în ce mai mult parole unice nu doar pentru confirmare tranzactii financiare, dar și pentru autentificarea inițială la sistemul de internet banking.

De obicei, organizatii de credit emite carduri sau imprimări cu parole unice în mod gratuit, dar acest lucru nu se întâmplă întotdeauna. Deci, în Uralsib, un set de chei unice pentru accesarea sistemului bancar prin internet va costa clientul 50 de ruble, în Master Bank, un card cu cod variabil (conținând 132 de numere) costă clientul 200 de ruble.

Unele sisteme bancare prin Internet, cum ar fi Banca Moscovei, SMP Bank, oferă un token - un generator electronic de coduri unice. Și Master Bank implementează o aplicație pentru dispozitive portabile, care vă permite și să generați coduri unice.

Vedeți ce este „parolă unică” în alte dicționare:

parolă de unică folosință- schimbarea dinamică a parolei Generatorul OTP este un dispozitiv electronic portabil autonom, capabil să genereze și să afișeze pe LCD-ul încorporat coduri digitale. Pentru familia de dispozitive VASCO Digipass, mecanismul… … Manualul Traducătorului Tehnic

Parolă de unică folosință- Card răzuibil al băncii VTB24 cu parole unice Parola unică (parolă unică în engleză, OTP) este o parolă, valabilă ... Wikipedia

Blocnotes de unică folosință- Cifrul Vernam (un alt nume: schema engleză One time pad of one-time pads) în criptografie, un sistem de criptare simetric inventat în 1917 de angajații AT T, maiorul Joseph Mauborn și Gilbert Vernam. Cifrul Vernam este ...... Wikipedia

Parolă de unică folosință - Un card de plastic cu parole unice O parolă unică este o parolă valabilă pentru un singur proces de autentificare pentru o perioadă limitată de timp. Avantajul unei parole unice față de o parolă statică ... ... Wikipedia

SecurID- RSA SecurID RSA SecurID logo ... Wikipedia

Autentificare- (English Authentication) procedura de autentificare... Wikipedia

Autentificare- Autentificare - verificarea apartenenței la subiectul de acces a identificatorului prezentat de acesta; confirmarea autenticității... Wikipedia

Algoritm de parolă unică bazat pe timp- TOTP (Time based One Time Password Algorithm, RFC 6238.) Algoritm OATH pentru generarea de parole unice pentru autentificare securizată, care este o îmbunătățire a HOTP (HMAC Based One Time Password Algorithm). Este un algoritm unidirecțional ...... Wikipedia

Răspuns la provocare (anti-spam)- Răspuns la provocare - o strategie de autentificare a utilizatorului prin verificarea corectitudinii reacției sale la o solicitare de sistem imprevizibilă. Cel mai adesea, o astfel de verificare are ca scop distingerea programului robot de persoana reala.… … Wikipedia

Cifrul Vernam- (un alt nume: Schema de tampoane cu o singură dată) în criptografie, un sistem de criptare simetric inventat în 1917 de angajații AT T, maiorul Joseph Mauborn și Gilbert Vernam. Cifrul Vernam ...... Wikipedia

Parolă de unică folosință(parolă unică, OTP) este o parolă valabilă doar pentru o singură sesiune. Valabilitatea unei parole unice poate fi, de asemenea, limitată la o anumită perioadă de timp. Avantajul unei parole unice față de una statică este că parola nu poate fi reutilizată. Astfel, un atacator care a interceptat date dintr-o sesiune de autentificare reușită nu poate folosi parola copiată pentru a obține acces la sistemul de informații protejat. Utilizarea parolelor unice nu protejează în sine împotriva atacurilor bazate pe interferența activă cu canalul de comunicare utilizat pentru autentificare (de exemplu, împotriva atacurilor de tip man-in-the-middle).

Pentru a crea parole unice, se folosește un generator de parole unice, care este disponibil numai pentru acest utilizator. De obicei, parolele unice sunt prezentate ca un set de numere și sunt folosite pentru a accesa sistemele de servicii de la distanță. Asta, intern Sisteme de informare organizatii.

În industria bancară, cea mai obișnuită modalitate de a furniza o parolă unică este un mesaj SMS pe care banca îl trimite unui client care cheltuiește în sistemul de internet banking.

În plus, parolele unice pot fi emise de bancă pe așa-numitul card răzuibil - un card de plastic pe care parolele sunt ascunse în spatele unui capac șters. În acest caz, clientul, după ce a primit o instrucțiune de la sistemul de internet banking pentru a introduce o parolă unică (cu un anumit număr de serie), șterge capacul de lângă numărul dorit de pe card și introduce codul în sistem.

Se practică, dar în timp, metoda de emitere a unei liste de parole unice în - la verificare își pierde relevanța. Asemenea parolelor de pe un card răzuibil, acestea au numere secvențiale și sunt introduse în direcția sistemului de internet banking.

Luptând împotriva fraudei, băncile folosesc din ce în ce mai mult parole unice nu doar pentru a confirma tranzacțiile financiare, ci și pentru intrarea inițială în sistemul de internet banking.

Unele sisteme bancare prin Internet oferă un generator electronic de coduri unice.

Algoritmii de generare OTP folosesc de obicei numere aleatorii. Acest lucru este necesar, deoarece altfel ar fi ușor să preziceți parolele ulterioare pe baza cunoștințelor celor anterioare. Algoritmii specifici OTP variază foarte mult în detaliu. Diverse abordări pentru a crea parole unice sunt enumerate mai jos.

1. Folosind algoritmi matematici pentru a crea o nouă parolă pe baza celor anterioare (parolele formează de fapt un lanț și trebuie folosite într-o anumită ordine).
2. Bazat pe sincronizarea timpului între server și client, furnizarea unei parole (parolele sunt valabile pentru o perioadă scurtă de timp).
3. Folosind un algoritm matematic, în care noua parolă se bazează pe o solicitare (de exemplu, un număr aleatoriu ales de server sau părți dintr-un mesaj primit) și/sau un contor.

ID-ul de utilizator (sau login) și o parolă permanentă sunt folosite de fiecare dată când introduceți contul personal al sistemului Sberbank Online. Acest prim pas de protecție este completat de o parolă unică trimisă într-un mesaj SMS.

Sistemul online Sberbank folosește două tipuri de parole unice. Am menționat-o deja pe prima, acestea sunt parole trimise către un telefon mobil conectat la serviciu Banca mobilă Sberbank. Iar al doilea tip este o verificare cu o listă de 20 de parole primite printr-un dispozitiv terminal.
Parolele unice primite sub formă de SMS sunt considerate mai sigure decât cele tipărite pe o chitanță, așa că unele tranzacții în Sberbank Online pot fi efectuate doar folosind astfel de parole.

Din motive de securitate, tranzacție de plată, pe telefonul mobil este trimisă o singură parolă SMS în timpul operațiunii, iar mesajul SMS indică și parametrii acestei operațiuni, cărora le este destinată această parolă.
O parolă unică pentru SMS este valabilă doar pentru confirmarea unei anumite operațiuni. La generarea următoarei parole unice primite prin Banca mobilă, informațiile despre parola anterioară sunt distruse.

Care sunt cele mai bune parole de unică folosință?

Dacă cardul este conectat la serviciul Mobile Banking, atunci când introduceți contul personal, va trebui neapărat să specificați parola unică trimisă sub formă de SMS. În plus, după autentificare, veți avea posibilitatea de a alege metoda de confirmare a tranzacțiilor cu o parolă unică sau o parolă dintr-o chitanță. Cu condiția ca confirmarea acestei operațiuni să poată fi efectuată prin oricare dintre tipurile descrise de parole unice.
Acest lucru este foarte convenabil pentru că conexiune mobilă uneori un mesaj SMS poate „refuza” sau întârzia, deoarece parola unică este valabilă doar 300 de secunde. Și apoi puteți folosi parolele de la verificare.

În acest caz, va apărea o astfel de fereastră, unde va fi indicat numărul de serie al parolei unice. Bifați parolele deja „utilizate” sau puneți „bifă”. Acest lucru este necesar pentru a ști câte parole mai sunt lăsate pe cec și pentru a primi o nouă listă la ATM în timp util.

Articolul are doar scop informativ și nu conține toate detaliile referitoare la sistemul Sberbank Online. Mai mult informatii detaliateÎl găsiți pe site-ul băncii.
De asemenea, rețineți data publicării. Poate că până acum unele informații s-au schimbat sau sunt depășite.
Data publicării: 18/10/2015

Autentificarea utilizatorului este folosită pentru a intra în Sberbank Online. Cum să creați o autentificare pentru a vă introduce contul personal.

Sberbank online este un serviciu modern pentru serviciul clienți la distanță al Sberbank prin internet. Oportunități online ale sistemului Sberbank.

Transfer de la card la card în Sberbank Online. Suma comisionului pentru transferul de bani prin Sberbank Online.

Astăzi, oamenii folosesc adesea serviciile bancare prin internet pentru a plăti facturile, pensia alimentară și împrumuturile. Noile tehnologii permit unei persoane, stând la un computer, să deschidă un cont sau un depozit, să verifice soldul de bani de pe cardul său. Utilizarea Internet banking vă permite să economisiți timp semnificativ fără a cheltui bani pentru plata unui comision în majoritatea cazurilor. Tot ce aveți nevoie este accesul la contul personal din sistem Sberbank online.

Nu toată lumea știe cum să obțină o listă de parole unice pentru a confirma în continuare comise cont personal Operațiunile Sberbank.

Necesitatea obținerii datelor de identificare

Pentru a efectua operațiuni cu conturi și carduri, o persoană trebuie să primească mai întâi o parolă permanentă. Acest lucru se poate face în mai multe moduri, de exemplu, contactați o sucursală bancară. Cel mai adesea, oamenii folosesc ATM-urile pentru a obține date.

Generarea are loc automat la cererea deținătorului cardului. Datele pot fi modificate ulterior. Cel mai bine este să utilizați combinații complexe pentru a crește nivelul de securitate al contului personal.

De ce aveți nevoie de o parolă unică?

Este necesară o parolă unică pentru verificarea suplimentară a identității unui client Sberbank. Un astfel de sistem de identificare este necesar:

1. la autorizare în contul dumneavoastră personal;
2. atunci când efectuează diverse operațiuni cu cardurile lor, depozite, conturi prin intermediul sistemului de internet banking.

Există următoarele tipuri de parole unice:

• cecuri tipărite folosind bancomate sau terminale (acestea conțin 20 de parole diferite simultan);
• parolele primite într-un mesaj de la Sberbank către telefon direct în timpul unei anumite operațiuni.

Unele operațiuni din sistemul Sberbank Online pot fi efectuate numai după ce este confirmată cu o parolă SMS.

Se recomandă ca orice tranzacție monetară să fie efectuată folosind parole unice. Utilizatorul poate dezactiva Sberbank Online, dar acest lucru nu îl va scuti deloc de la utilizarea parolelor unice. Deci, atunci când lucrați cu diferite programe bancare, introducerea acestora va fi necesară pentru a confirma tranzacțiile.

Primirea parolelor unice

Există mai multe modalități de a obține parole unice. Nu trebuie să uităm că pentru a lucra în sistemul de internet banking, veți avea nevoie de un login și o parolă permanentă.
Prin ATM-ul Sberbank
Clientul trebuie să fie deținătorul unui card de debit (creditul nu va funcționa) al Sberbank a Federației Ruse. Ar putea fi salariu sau card de plată. Dacă unul este disponibil, atunci trebuie să îl iei cu tine și să mergi la cel mai apropiat terminal sau ATM (procedura de obținere este identică).

1. Este necesar să introduceți cardul în cititorul de carduri.
2. Introduceți codul de confirmare la cererea sistemului.
3. Va apărea meniul principal, în care ar trebui să faceți clic pe secțiunea „Sberbank Online și Mobile Bank”. Dacă ATM-ul are instalat un software vechi, atunci acest articol nu va fi acolo. În acest caz, va trebui să faceți clic pe butonul „Servicii Internet”.
4. În meniul care se deschide, faceți clic pe butonul „Obțineți o listă de parole unice”. ATM-ul va tipări o listă de parole, sunt 20 dintre ele.

Parolele din listă sunt atemporale. Dacă utilizatorul imprimă parole noi, atunci cele vechi devin invalide - nu mai pot fi folosite.

Pentru a face mai convenabil pentru client să folosească parole, toate au propriul număr. La efectuarea oricăror tranzacții pe Internet, sistemul bancar prin internet va solicita utilizatorului să introducă o parolă unică cu un anumit număr. Sunt solicitate în ordine aleatorie, așa că trebuie să acordați atenție mesajului de sistem care vă cere să introduceți o parolă unică.

Este necesar să se acorde atenție faptului că plățile și transferurile, care sunt confirmate printr-o parolă unică dintr-un cec, nu pot depăși suma de 3.000 de ruble.

După ce toate cele 20 de parole de la verificare s-au terminat, trebuie să obțineți altele noi în același mod ca și cele anterioare.

Dacă verificarea cu parolele a fost pierdută sau datele sale au devenit cunoscute de altcineva, atunci trebuie să le imprimați imediat pe cele noi sau să le blocați pe cele vechi. Pentru a face acest lucru, sunați la centrul de contact la unul dintre următoarele numere –

• +7 (4 9 5 ) 5 0 0 - 5 5 5 0 ;
• +7 (8 0 0 ) 5 5 5 - 5 5 5 0 .

Prin SMS
Această metodă de obținere a parolelor unice este disponibilă doar acelor clienți care au conectat anterior serviciul Mobile Banking la cardul lor. Acest lucru se poate face contactând orice sucursală a Sberbank sau folosind un terminal (ATM). O altă opțiune pentru conectarea Mobile Bank este apelarea centrului de contact. Pentru a face acest lucru, va trebui să furnizați informații de control, care este mai bine să le pregătiți în avans.

La efectuarea oricărei operațiuni prin Sberbank Online, utilizatorul primește mesaje cu parole unice pe telefonul său mobil (o parolă - un mesaj). Intrarea trebuie efectuată prin cardul la care este conectată Mobile Bank. În caz contrar, va trebui să utilizați lista de parole unice din chitanță.

Când vizualizați mesajul trimis, trebuie să vă asigurați că detaliile operațiunii sunt corecte. Pentru a face acest lucru, trebuie să comparați datele introduse în sistemul Sberbank Online cu informațiile din SMS.

Fiecare parolă unică este folosită o singură dată și nu poate fi reutilizată. Dacă utilizatorul a solicitat o nouă parolă unică, cea veche este anulată. Nu se va mai putea folosi.

Mesajele cu parole unice provin întotdeauna de la numărul scurt Sberbank 900. Următoarele detalii ale tranzacției sunt indicate în SMS:

• numărul cardului sau contului cu care se face tranzacția;
• suma tranzacției;
• parola pentru a confirma operația.

Pot exista și alte date, în funcție de tipul operației efectuate.

Procedura de introducere a parolelor unice

Pe baza setărilor de sistem ale contului dvs. personal, vi se poate permite să utilizați unul sau mai multe tipuri de confirmare a tranzacției cu parole unice. Dacă ambele metode pot fi utilizate, atunci sistemul va oferi interpretului o alegere înainte de a confirma.

Dacă utilizatorul selectează confirmarea dintr-o verificare, atunci numărul de cec și parola vor apărea lângă câmpul de completare.

Dacă confirmarea vine la telefon sub formă de SMS, atunci parola primită ar trebui să fie rescrisă deja în linia „Introduceți parola SMS”.

După ce parola este introdusă, sistemul vă va solicita să verificați din nou toate detaliile. Dacă toate acestea sunt completate corect, atunci trebuie să faceți clic pe butonul „Confirmare”.

Care este cel mai bun mod de a-l obține?

Dacă o persoană știe să folosească parole unice în sistemul Online Sberbank, are o altă întrebare - care dintre metodele disponibile este cea mai convenabilă și cea mai de încredere?

Pentru autorizare în sistem folosind datele cardului conectat Banca mobilă, parola unică primită în mesaj va fi necesară pentru a o introduce în orice caz. Dar operațiunile pot fi confirmate în orice mod convenabil pentru utilizator. Parolele SMS nu ajung întotdeauna la timp. Uneori sunt trimise cu întârziere. Și fiecare dintre ele este valabil doar 5 minute. Dacă sistemul sau comunicarea mobilă eșuează, atunci este mai bine să utilizați parolele din verificare pentru a confirma.