Tulad ng ipinakita ng mga kamakailang pag-aaral, ang isa sa mga pinaka-seryosong problema para sa mga kumpanya sa larangan ng seguridad ng impormasyon ay ang hindi awtorisadong pag-access sa mga computer system. Ayon sa CSI/FBI Computer Crime and Security Survey 2005, 55% ng mga kumpanya ang nag-ulat ng mga paglabag sa data noong nakaraang taon. Bukod dito, sa parehong taon, ang mga kumpanya ay nawalan ng average na $303,000 dahil sa hindi awtorisadong pag-access, at kumpara noong 2004, ang mga pagkalugi ay tumaas ng anim na beses.

Naturally, para sa mga kumpanyang Ruso, ang mga bilang ng pagkawala ay magiging ganap na naiiba, ngunit hindi nito binabago ang problema mismo: ang hindi awtorisadong pag-access ay nagdudulot ng malubhang pinsala sa mga kumpanya, hindi alintana kung alam ito ng pamamahala o hindi.

Malinaw na ang pagiging maaasahan ng proteksyon laban sa banta na ito ay pangunahing nakasalalay sa kalidad ng sistema ng pagpapatunay ng gumagamit. Ngayon, ang pakikipag-usap tungkol sa seguridad ng impormasyon nang hindi nakatali sa personalized na pag-access at pagsubaybay sa lahat ng mga aksyon ng user sa network ay hindi makatuwiran. Gayunpaman, pagdating sa pagpapatunay ng gumagamit sa mga computer na kasama sa lokal na network ng kumpanya, walang mga partikular na paghihirap. Nag-aalok ang market ng maraming iba't ibang solusyon, kabilang ang mga smart card at electronic key, biometric authentication tool, at maging ang mga kakaibang bagay tulad ng mga graphic na password.

Ang sitwasyon ay medyo naiiba kung ang gumagamit ay kailangang kumonekta sa corporate computer network nang malayuan, halimbawa, sa pamamagitan ng Internet. Sa kasong ito, maaaring harapin niya ang isang bilang ng mga problema, na isasaalang-alang namin nang mas detalyado.

Mga pitfalls ng malayuang pag-access

Ang pagiging nasa isang hindi pinagkakatiwalaang kapaligiran (sa labas ng opisina), ang gumagamit ay nahaharap sa pangangailangan na magpasok ng isang password mula sa computer ng ibang tao (halimbawa, mula sa isang Internet cafe). Ang mga password ay naka-cache, tulad ng anumang iba pang impormasyon na ipinasok sa computer, at kung ninanais, maaaring gamitin ng ibang tao ang mga ito para sa kanilang sariling makasariling layunin.

Medyo karaniwan ngayon ang isang uri ng pandaraya sa computer gaya ng pagsinghot (mula sa English sniff - sniff) - ang pagharang ng mga network packet ng isang umaatake upang makilala ang impormasyong interesado sa kanya. Gamit ang diskarteng ito, maaaring "singhot" ng isang hacker ang password ng user at gamitin ito para sa hindi awtorisadong pag-access.

Ang simpleng proteksyon ng password (lalo na para sa malayuang pag-access) ay seryosong sinusuri ng isang bagong henerasyon ng spyware na tahimik na pumapasok sa computer ng user sa panahon ng normal na "pag-flip" ng mga Web page. Maaaring i-program ang virus upang i-filter ang mga stream ng impormasyon ng isang partikular na computer upang matukoy ang mga kumbinasyon ng mga character na maaaring magsilbi bilang mga password. Ipinapadala ng "espiya" ang mga kumbinasyong ito sa lumikha nito, at ang tanging natitira na lang niyang gagawin ay ibunyag ang kinakailangang password.

Malinaw na ang paraan ng hardware sa pag-aayos ng ligtas na pag-access sa network ay ilang beses na mas maaasahan kaysa sa mga simpleng password, ngunit paano ka makakagamit ng smart card o USB key habang wala ka sa opisina muli? Malamang, ito ay mabibigo, dahil ang unang aparato ay nangangailangan ng hindi bababa sa isang mambabasa, ang pangalawa ay nangangailangan ng isang USB port, na maaaring mai-block (Internet cafe) o, mas masahol pa, maaaring wala lamang ito sa device kung saan sinusubukan ng user. para makakuha ng access (PDA, mobile phone, smartphone, atbp.). Hindi na kailangang sabihin, para sa pagpapatakbo ng hardware - mga smart card at USB key - kailangan mo ng naaangkop na software, na halos hindi posible na mai-install sa parehong Internet cafe.

Samantala, madalas na lumilitaw ang mga sitwasyon kung saan kinakailangan ang malayuang pagtanggap o pagpapadala ng impormasyon. Kunin, halimbawa, ang mga electronic banking system: madaling isipin ang isang sitwasyon kung saan ang isang user ay nangangailangan ng access upang ma-secure ang mga mapagkukunan ng pagbabangko upang malayuang pamahalaan ang kanilang account. Ngayon, napagtanto ng ilang bangko ang pangangailangan para sa pahintulot na nakabatay sa hardware gamit ang USB key. Ngunit para sa isang bilang ng mga kadahilanan na inilarawan sa itaas, ito ay malayo mula sa palaging posible na gamitin ito.

Ang mga detalye ng negosyo ng maraming malalaking kumpanya ay madalas na nag-oobliga sa kanila na magbigay ng access sa kanilang sariling mga mapagkukunan sa mga user ng third-party - mga kasosyo, mga customer, mga supplier. Ngayon sa Russia, ang ganitong uri ng pakikipagtulungan tulad ng outsourcing ay aktibong nakakakuha ng momentum: maaaring kailanganin ng isang subcontractor na kumpanya ang access sa mga protektadong mapagkukunan ng customer upang maisagawa ang trabaho sa isang order.

Ang pangangailangang kumonekta sa isang corporate network na may matibay na pamamaraan ng pagpapatotoo, na may hawak lamang na PDA o smartphone, ay maaaring maging isang seryosong problema kung ang gumagamit ay nasa isang kumperensya, mga negosasyon o iba pang mga kaganapan sa negosyo. Para lamang sa mga mobile application, pati na rin para sa pag-aayos ng pag-access sa kinakailangang impormasyon mula sa mga lugar kung saan imposibleng mag-install ng espesyal na software, ang konsepto ng isang beses na mga password na OTP - One-Time Password ay binuo.

Isang beses na password: ipinasok at nakalimutan

Ang isang beses na password ay isang keyword na wasto para lamang sa isang proseso ng pagpapatunay para sa isang limitadong tagal ng oras. Ang ganitong password ay ganap na malulutas ang problema ng posibleng pagharang ng impormasyon o banal na pagsilip. Kahit na makuha ng isang umaatake ang password ng "biktima", ang mga pagkakataong gamitin ito upang makakuha ng access ay zero.

Ang mga unang pagpapatupad ng konsepto ng isang beses na mga password ay batay sa isang static na hanay ng mga keyword, iyon ay, isang listahan ng mga password (mga key, mga salita ng code, atbp.) ay unang nabuo, na magagamit ng mga user. Ang isang katulad na mekanismo ay ginamit sa mga unang sistema ng pagbabangko na may posibilidad ng remote na pamamahala ng account. Sa pag-activate ng serbisyong ito, nakatanggap ang kliyente ng isang sobre na may listahan ng kanilang mga password. Pagkatapos, sa bawat oras na ma-access niya ang system, ginamit niya ang susunod na keyword. Nang maabot ang dulo ng listahan, pumunta ang kliyente sa bangko para sa bago. Ang solusyon na ito ay may isang bilang ng mga disadvantages, ang pangunahing kung saan ay mababa ang pagiging maaasahan. Gayunpaman, mapanganib na patuloy na magdala ng isang listahan ng mga password sa iyo, madaling mawala ito o maaari itong manakaw ng mga nanghihimasok. At pagkatapos, ang listahan ay hindi walang katapusang, ngunit paano kung sa tamang oras ay hindi posible na makarating sa bangko?

Sa kabutihang palad, ngayon ang sitwasyon ay nagbago sa pinaka-radikal na paraan. Sa pangkalahatan, sa mga bansa sa Kanluran, ang isang beses na mga password para sa pagpapatunay sa mga sistema ng impormasyon ay naging karaniwan. Gayunpaman, sa ating bansa, ang teknolohiya ng OTP ay nanatiling hindi naa-access hanggang kamakailan. At kamakailan lamang, nagsimulang mapagtanto ng pamamahala ng kumpanya kung gaano tumataas ang panganib ng hindi awtorisadong pag-access kapag nagtatrabaho nang malayuan. Ang demand, tulad ng alam mo, ay lumilikha ng supply. Ngayon ang mga produkto na gumagamit ng isang beses na mga password para sa malayuang pagpapatunay ay unti-unting nagsimulang kumuha ng kanilang lugar sa merkado ng Russia.

Gumagamit ang mga modernong teknolohiya sa pagpapatunay ng OTP ng dynamic na pagbuo ng keyword gamit ang malalakas na cryptographic algorithm. Sa madaling salita, ang data ng pagpapatunay ay resulta ng pag-encrypt ng ilang paunang halaga gamit ang pribadong key ng user. Ang impormasyong ito ay magagamit sa parehong kliyente at server. Hindi ito ipinapadala sa network at hindi magagamit para sa pagharang. Ang impormasyong kilala sa magkabilang panig ng proseso ng pagpapatotoo ay ginagamit bilang paunang halaga, at ang isang encryption key ay nilikha para sa bawat user kapag ito ay sinimulan sa system (Fig. 1).

Kapansin-pansin na sa yugtong ito sa pagbuo ng mga teknolohiya ng OTP, may mga sistema na gumagamit ng parehong simetriko at walang simetrya na cryptography. Sa unang kaso, ang parehong partido ay dapat magkaroon ng sikretong susi. Sa pangalawa, tanging ang gumagamit lamang ang nangangailangan ng lihim na susi, at ang server ng pagpapatotoo ay may pampubliko nito.

Pagpapatupad

Ang mga teknolohiya ng OTP ay binuo bilang bahagi ng Open Authentication (OATH) na inisyatiba sa industriya na inilunsad ng VeriSign noong 2004. Ang kakanyahan ng inisyatiba na ito ay upang bumuo ng isang standard na detalye para sa tunay na malakas na authentication para sa iba't ibang serbisyo sa Internet. Bukod dito, pinag-uusapan natin ang tungkol sa isang dalawang-factor na pagpapasiya ng mga karapatan ng gumagamit, kung saan ang huli ay dapat "magpakita" ng isang smart card o USB token at ang kanyang password. Kaya, ang isang beses na password ay maaaring maging karaniwang paraan ng malayuang pagpapatunay sa iba't ibang mga system.

Ngayon, maraming mga opsyon para sa pagpapatupad ng isang beses na mga sistema ng pagpapatunay ng password ay binuo at ginagamit sa pagsasanay.

Paraan ng kahilingan-tugon. Ang prinsipyo ng pagpapatakbo nito ay ang mga sumusunod: sa simula ng pamamaraan ng pagpapatunay, ipinapadala ng user ang kanyang pag-login sa server. Bilang tugon, ang huli ay bumubuo ng ilang random na string at ibinabalik ito. Ini-encrypt ng user ang data na ito gamit ang kanyang susi at ibinabalik ito sa server. Ang server sa oras na ito ay "hinahanap" ang sikretong susi ng ibinigay na user sa memorya nito at ini-encode ang orihinal na string sa tulong nito. Susunod, ang paghahambing ng parehong mga resulta ng pag-encrypt ay isinasagawa. Kung ganap na tumugma ang mga ito, maituturing na matagumpay ang pagpapatunay. Ang pamamaraang ito ng pagpapatupad ng isang beses na teknolohiya ng password ay tinatawag na asynchronous, dahil ang proseso ng pagpapatunay ay hindi nakasalalay sa kasaysayan ng gumagamit sa server at iba pang mga kadahilanan.

Paraang "Sagutin lamang". Sa kasong ito, ang algorithm ng pagpapatunay ay medyo mas simple. Sa pinakadulo simula ng proseso, ang software o hardware ng user ay nakapag-iisa na bumubuo ng paunang data, na ie-encrypt at ipapadala sa server para sa paghahambing. Sa kasong ito, ang halaga ng nakaraang kahilingan ay ginagamit sa proseso ng paglikha ng isang row. Ang server ay mayroon ding impormasyong ito; alam ang username, hinahanap nito ang halaga ng dati nitong kahilingan at bumubuo ng eksaktong parehong string gamit ang parehong algorithm. Ang pag-encrypt nito gamit ang sikretong key ng user (ito ay nakaimbak din sa server), ang server ay tumatanggap ng isang halaga na dapat ganap na tumugma sa data na ipinadala ng user.

Paraan ng pag-synchronize ng oras. Sa loob nito, ang kasalukuyang mga pagbabasa ng timer ng isang espesyal na aparato o computer kung saan gumagana ang isang tao ay ginagamit bilang paunang linya. Sa kasong ito, hindi isang eksaktong indikasyon ng oras ang karaniwang ginagamit, ngunit ang kasalukuyang agwat na may paunang itinakda na mga hangganan (halimbawa, 30 s). Ang data na ito ay naka-encrypt gamit ang isang pribadong key at ipinadala sa cleartext sa server kasama ang username. Ang server, sa pagtanggap ng kahilingan sa pagpapatunay, ay nagsasagawa ng parehong mga aksyon: natatanggap nito ang kasalukuyang oras mula sa timer nito at ini-encrypt ito. Pagkatapos nito, kailangan lang niyang ihambing ang dalawang halaga: kinakalkula at natanggap mula sa isang malayong computer.

Paraan na "pag-synchronize ayon sa kaganapan". Sa prinsipyo, ang pamamaraang ito ay halos magkapareho sa nauna, tanging ang bilang ng mga matagumpay na pamamaraan ng pagpapatunay na isinagawa bago ang kasalukuyang isa ay ginagamit bilang paunang string, hindi ang oras. Ang halagang ito ay kinakalkula ng magkabilang partido nang hiwalay sa isa't isa.

Sa ilang mga sistema, ipinapatupad ang tinatawag na mixed method, kung saan dalawang uri ng impormasyon o higit pa ang ginagamit bilang paunang halaga. Halimbawa, may mga system na isinasaalang-alang ang parehong mga counter ng pagpapatunay at mga built-in na timer. Iniiwasan ng diskarteng ito ang maraming disadvantages ng mga indibidwal na pamamaraan.

Mga kahinaan sa teknolohiya ng OTP

Ang teknolohiya ng isang beses na mga password ay itinuturing na lubos na maaasahan. Gayunpaman, para sa kapakanan ng objectivity, tandaan namin na mayroon din itong mga disbentaha kung saan napapailalim ang lahat ng system na nagpapatupad ng prinsipyo ng OTP sa dalisay nitong anyo. Ang ganitong mga kahinaan ay maaaring nahahati sa dalawang grupo. Kasama sa una ang potensyal na mapanganib na "mga butas" na likas sa lahat ng mga paraan ng pagpapatupad. Ang pinaka-seryoso sa kanila ay ang posibilidad na ma-spoof ang server ng pagpapatunay. Sa kasong ito, direktang ipapadala ng user ang kanyang data sa attacker, na maaaring agad na magamit ang mga ito para ma-access ang totoong server. Sa kaso ng paraan ng "request-response", ang algorithm ng pag-atake ay bahagyang mas kumplikado (ang computer ng hacker ay dapat gumanap ng papel ng isang "tagapamagitan", na dumadaan sa proseso ng pagpapalitan ng impormasyon sa pagitan ng server at ng kliyente). Gayunpaman, ito ay nagkakahalaga ng noting na sa pagsasagawa ito ay hindi sa lahat ng madaling isagawa ang naturang pag-atake.

Ang isa pang kahinaan ay likas lamang sa mga magkakasabay na pamamaraan at nauugnay sa katotohanang may panganib ng pag-desynchronize ng impormasyon sa server at sa software o hardware ng user. Ipagpalagay, sa ilang sistema, ang paunang data ay ang mga pagbabasa ng mga panloob na timer, at sa ilang kadahilanan ay hindi na sila nag-tutugma sa isa't isa. Sa kasong ito, mabibigo ang lahat ng pagtatangka ng user na magpatotoo (unang uri ng error). Sa kabutihang palad, sa ganitong mga kaso, ang isang error ng pangalawang uri (ang pag-amin ng "dayuhan") ay hindi maaaring lumabas. Gayunpaman, ang posibilidad ng paglitaw ng inilarawan na sitwasyon ay napakaliit din.

Ang ilang mga pag-atake ay naaangkop lamang sa ilang mga paraan ng pagpapatupad ng isang beses na teknolohiya ng password. Halimbawa, muli nating kunin ang paraan ng pag-synchronize ng timer. Tulad ng nasabi na natin, ang oras ay hindi isinasaalang-alang dito na may katumpakan ng isang segundo, ngunit sa loob ng ilang paunang natukoy na agwat. Ginagawa ito na isinasaalang-alang ang posibilidad ng pag-desynchronize ng timer, pati na rin ang hitsura ng mga pagkaantala sa paghahatid ng data. At ito ay tiyak na sandaling ito na ang isang umaatake ay maaaring theoretically gamitin upang makakuha ng hindi awtorisadong pag-access sa isang remote system. Upang magsimula, ang hacker ay "nakikinig" sa trapiko ng network mula sa user patungo sa authentication server at naharang ang login at isang beses na password na ipinadala ng "biktima". Pagkatapos ay agad niyang hinarangan ang kanyang computer (na-overload ito, sinira ang koneksyon, atbp.) at nagpapadala ng data ng pahintulot mula sa kanyang sarili. At kung ang umaatake ay namamahala na gawin ito nang napakabilis na ang agwat ng pagpapatunay ay walang oras upang baguhin, pagkatapos ay kinikilala siya ng server bilang isang rehistradong gumagamit.

Malinaw na para sa gayong pag-atake, ang isang umaatake ay dapat na makinig sa trapiko, pati na rin mabilis na harangan ang computer ng kliyente, at ito ay hindi isang madaling gawain. Ang pinakamadaling paraan upang matugunan ang mga kundisyong ito ay kapag ang pag-atake ay naplano nang maaga, at upang kumonekta sa remote system, ang "biktima" ay gagamit ng isang computer mula sa isang dayuhang lokal na network. Sa kasong ito, ang hacker ay maaaring "gumana" sa isa sa mga PC nang maaga, na makontrol ito mula sa isa pang makina. Mapoprotektahan mo ang iyong sarili mula sa gayong pag-atake sa pamamagitan lamang ng paggamit ng mga "pinagkakatiwalaang" gumaganang makina (halimbawa, ang iyong sariling laptop o PDA) at secure na "independiyente" (halimbawa, gamit ang SSL) na mga channel sa pag-access sa Internet.

Kalidad ng pagpapatupad

Ang pagiging maaasahan ng anumang sistema ng seguridad ay higit na nakasalalay sa kalidad ng pagpapatupad nito. Ang lahat ng praktikal na solusyon ay may kanilang mga disbentaha na maaaring gamitin ng mga umaatake para sa kanilang sariling mga layunin, at ang mga "butas" na ito ay kadalasang hindi direktang nauugnay sa teknolohiyang ipinapatupad. Ganap na naaangkop ang panuntunang ito sa mga system ng pagpapatotoo batay sa isang beses na mga password. Tulad ng nabanggit sa itaas, ang mga ito ay batay sa paggamit ng mga cryptographic algorithm. Ito ay nagpapataw ng ilang mga obligasyon sa mga developer ng naturang mga produkto - pagkatapos ng lahat, ang mahinang pagganap ng anumang algorithm o, halimbawa, ang isang random na generator ng numero ay maaaring malagay sa panganib ang seguridad ng impormasyon.

Ang isang beses na generator ng password ay ipinapatupad sa dalawang paraan: software at hardware. Ang una sa kanila, siyempre, ay hindi gaanong maaasahan. Ang katotohanan ay ang utility ng kliyente ay dapat mag-imbak ng lihim na susi ng gumagamit. Magagawa ito nang higit pa o hindi gaanong ligtas sa pamamagitan lamang ng pag-encrypt ng susi mismo batay sa isang personal na password. Sa kasong ito, dapat itong isaalang-alang na ang utility ng kliyente ay dapat na mai-install sa device (PDA, smartphone, atbp.) Kung saan kasalukuyang tumatakbo ang session. Kaya, lumalabas na ang pagpapatunay ng empleyado ay nakasalalay sa isang solong password, habang mayroong maraming mga paraan upang malaman o hulaan ito. At ito ay malayo sa tanging kahinaan ng software na isang beses na generator ng password.

Ang iba't ibang mga aparato para sa pagpapatupad ng hardware ng mga teknolohiya ng OTP ay hindi maihahambing na mas maaasahan. Hal. "paraan). Ang pangunahing kahinaan ng naturang mga aparato ay nauugnay sa katotohanan na maaari silang manakaw o mawala. Mapoprotektahan mo lang ang system mula sa isang nanghihimasok kung gumagamit ka ng maaasahang proteksyon ng memorya ng device gamit ang isang lihim na key.

kanin. 2. RSA SecurID OTP device.

Ang diskarte na ito ay ipinatupad sa mga smart card at USB token. Upang ma-access ang kanilang memorya, dapat ipasok ng user ang kanilang PIN. Idinagdag namin na ang mga naturang device ay protektado mula sa pagpili ng PIN-code: kung inilagay mo ang maling halaga nang tatlong beses, ma-block ang mga ito. Ang maaasahang pag-iimbak ng pangunahing impormasyon, pagbuo ng hardware ng mga pares ng key at pagpapatupad ng mga cryptographic na operasyon sa isang pinagkakatiwalaang kapaligiran (sa isang smart card chip) ay hindi nagpapahintulot sa isang umaatake na kunin ang lihim na susi at gumawa ng duplicate ng isang beses na device para sa pagbuo ng password.

Halimbawa ng Pagpapatupad ng OTP

Kaya, ang mga smart card at USB token ay itinuturing na pinaka-maaasahang isang beses na generator ng password, na protektado mula sa halos lahat ng mga kahinaan sa pagpapatupad. Bukod dito, ang huli ay malinaw na mas maginhawa: maaari silang magamit sa anumang PC o laptop nang walang karagdagang mga mambabasa na kinakailangan para sa mga smart card. Bukod dito, mayroong isang pagpapatupad ng isang USB dongle na may teknolohiyang OTP, na maaaring gumana nang walang USB port. Ang isang halimbawa ng naturang electronic key ay ang eToken NG-OTP mula sa Aladdin (Larawan 3).

Kapansin-pansin na si Aladdin (http://www.aladdin.com) ay aktibong kasangkot sa pagtataguyod ng inisyatiba ng OATH na binanggit sa itaas, at ang susi na tinalakay dito ay pinili bilang pangunahing bahagi ng solusyon sa VeriSign Unified Authentication. Totoo, iba ang tawag dito sa system na ito: eToken VeriSign. Ang pangunahing layunin ng solusyon na ito ay upang madagdagan ang tiwala sa mga transaksyon na natapos sa pamamagitan ng Internet, at ito ay batay sa malakas na two-factor authentication batay sa isang hardware key. Ang ganitong mga paghahatid ng OEM ng produktong eToken NG-OTP ay nagpapatunay sa kalidad at pagsunod nito sa lahat ng mga detalye ng OATH.

Ang mga device ng serye ng eToken ay medyo laganap sa Russia. Ang mga nangungunang tagagawa gaya ng Microsoft, Cisco, Oracle, Novell, atbp. ay nagbibigay ng kanilang suporta sa kanilang mga produkto (ang "track record" ng eToken ay may higit sa 200 mga pagpapatupad na may mga application ng seguridad ng impormasyon).

Kaya, ang eToken NG-OTP ay batay sa isa pang hardware key, ang pinakasikat na modelo sa linya ay ang eToken PRO. Ito ay isang ganap na token batay sa isang secure na memory smart card chip na maaaring magamit upang ligtas na mag-imbak ng pangunahing impormasyon, mga profile ng user at iba pang kumpidensyal na data, upang magsagawa ng mga cryptographic na kalkulasyon sa hardware at gumana sa mga asymmetric key at X.509 certificate.

Sa eToken NG-OTP dongle, bilang karagdagan sa mga module na nagpapatupad ng mga kakayahan na inilarawan sa itaas, mayroong isang hardware na isang beses na generator ng password (Fig. 4). Gumagana ito ayon sa pamamaraang "pag-synchronize ayon sa kaganapan". Ito ang pinaka-maaasahang pagpapatupad ng teknolohiyang OTP sa mga magkakasabay na opsyon (na may mas kaunting panganib ng desynchronization). Ang isang beses na algorithm ng pagbuo ng password na ipinatupad sa eToken NG-OTP key ay binuo bilang bahagi ng OATH initiative (ito ay batay sa teknolohiya ng HMAC). Ang kakanyahan nito ay nakasalalay sa pagkalkula ng halaga ng HMAC-SHA-1 at pagkatapos ay sa pagpapatakbo ng pagputol (pagpili) ng anim na numero mula sa nagresultang 160-bit na halaga. Nagsisilbi sila bilang parehong isang beses na password.

Ang isang kawili-wiling tampok ng pinagsamang susi ng eToken NG-OTP ay ang kakayahang gumamit ng isang beses na mga password kahit na hindi ikinokonekta ang susi sa isang computer. Ang proseso ng pagbuo ng OTP ay maaaring simulan sa pamamagitan ng pagpindot sa isang espesyal na pindutan na matatagpuan sa katawan ng device (Larawan 5), at ang resulta nito sa kasong ito ay ipapakita sa built-in na LCD display. Ginagawang posible ng diskarteng ito na gumamit ng teknolohiyang OTP kahit sa mga device na walang mga USB port (smartphone, PDA, cell phone, atbp.) at sa mga computer kung saan naka-block ang mga ito.

Ang pinaka-maaasahan ay ang halo-halong mode ng pagpapatakbo ng itinuturing na susi. Upang magamit ito, ang aparato ay dapat na konektado sa isang PC. Dito pinag-uusapan natin ang tungkol sa dalawang-factor na pagpapatotoo, na ipinatupad sa maraming paraan. Sa isang kaso, upang makakuha ng access sa network, kinakailangan na gamitin ang sariling password ng gumagamit upang maipasok ito, pati na rin ang halaga ng OTP. Ang isa pang opsyon ay nangangailangan ng isang beses na password at isang halaga ng OTP PIN (ipinapakita sa key screen).

Naturally, ang eToken NG-OTP key ay maaaring gumana bilang isang karaniwang USB token - para sa pagpapatunay ng user gamit ang mga digital na sertipiko at teknolohiya ng PKI, para sa pag-iimbak ng mga personal na susi, atbp. Kaya, ipinapayong gamitin ang produktong pinag-uusapan sa isang malawak na hanay ng mga proyekto nauugnay sa pangangailangan para sa secure na malayuang pag-access at dalawang-factor na pagpapatotoo. Ang paggamit ng naturang hybrid key sa isang enterprise scale ay nagbibigay-daan sa mga user na gamitin ang kanilang mga susi sa loob ng opisina at sa labas nito. Binabawasan ng diskarteng ito ang gastos ng paglikha ng isang sistema ng seguridad ng impormasyon nang hindi binabawasan ang pagiging maaasahan nito.

Summing up

Kaya, ang konsepto ng isang beses na password ng OTP, kasama ng mga modernong pamamaraan ng cryptographic, ay maaaring gamitin upang ipatupad ang maaasahang remote na mga sistema ng pagpapatunay. Ang teknolohiyang ito ay may isang bilang ng mga makabuluhang pakinabang. Una, ito ay pagiging maaasahan. Ngayon, walang napakaraming paraan para talagang "malakas" na pagpapatunay ng user kapag nagpapadala ng impormasyon sa mga bukas na channel ng komunikasyon. Samantala, ang problemang ito ay nagiging mas at mas karaniwan. At ang isang beses na password ay isa sa mga pinaka-maaasahan na solusyon nito.

Ang pangalawang bentahe ng isang beses na mga password ay ang paggamit ng "karaniwang" cryptographic algorithm. Nangangahulugan ito na ang mga kasalukuyang pag-unlad ay angkop na angkop para ipatupad ang isang sistema ng pagpapatunay gamit ang OTP. Sa katunayan, malinaw na pinatutunayan nito ang parehong eToken NG-OTP key, na tugma sa mga domestic crypto provider. Ang ganitong mga token ay maaaring gamitin sa mga umiiral na sistema ng seguridad ng kumpanya nang hindi binabago ang mga ito. Bilang resulta, ang isang beses na teknolohiya ng password ay maaaring ipatupad sa medyo mababang halaga.

Ang isa pang plus ng isang beses na mga password ay ang proteksyon ay mahinang nakadepende sa kadahilanan ng tao. Totoo, hindi ito nalalapat sa lahat ng mga pagpapatupad nito. Tulad ng sinabi namin, ang pagiging maaasahan ng maraming isang beses na mga programa ng password ay nakasalalay sa kalidad ng PIN na ginamit. Gumagamit ang mga generator ng hardware batay sa mga USB token ng ganap na two-factor authentication. At sa wakas, ang pang-apat na bentahe ng konsepto ng OTP ay ang kaginhawahan nito para sa mga gumagamit. Ang pagkuha ng access sa kinakailangang impormasyon gamit ang isang beses na password ay hindi mas mahirap kaysa sa paggamit ng mga static na keyword para sa layuning ito. Ito ay lalong kaaya-aya na ang ilang mga pagpapatupad ng hardware ng itinuturing na teknolohiya ay maaaring gamitin sa anumang device, anuman ang mga port na umiiral dito at ang naka-install na software.

Isang beses na Password(isang beses na password, OTP) ay isang password na valid para sa isang session lamang. Ang bisa ng isang beses na password ay maaari ding limitahan sa isang tiyak na tagal ng panahon. Ang bentahe ng isang beses na password kaysa sa isang static ay ang password ay hindi magagamit muli. Kaya, ang isang umaatake na humarang ng data mula sa isang matagumpay na sesyon ng pagpapatotoo ay hindi maaaring gumamit ng nakopyang password upang makakuha ng access sa protektadong sistema ng impormasyon. Ang paggamit ng isang beses na password ay hindi mismo nagpoprotekta laban sa mga pag-atake batay sa aktibong panghihimasok sa channel ng komunikasyon na ginagamit para sa pagpapatunay (halimbawa, laban sa mga pag-atake ng tao sa gitna).

Upang lumikha ng isang beses na mga password, isang isang beses na generator ng password ay ginagamit, na magagamit lamang sa user na ito. Karaniwan, ang isang beses na password ay ipinakita bilang isang hanay ng mga numero at ginagamit upang ma-access ang mga remote service system. Ito ang mga panloob na sistema ng impormasyon ng organisasyon.

Sa industriya ng pagbabangko, ang pinakakaraniwang paraan upang magbigay ng isang beses na password ay isang SMS na mensahe na ipinapadala ng bangko sa isang kliyente na gumagastos sa Internet banking system.

Bilang karagdagan, ang isang beses na mga password ay maaaring ibigay ng bangko sa tinatawag na scratch card - isang plastic card kung saan nakatago ang mga password sa likod ng isang nabubura na takip. Sa kasong ito, ang kliyente, na nakatanggap ng tagubilin mula sa Internet banking system na magpasok ng isang beses na password (na may isang tiyak na serial number), binubura ang takip sa tabi ng nais na numero sa card at ipinasok ang code sa system.

Ito ay isinasagawa, ngunit sa paglipas ng panahon, ang paraan ng pag-isyu ng isang listahan ng isang beses na mga password sa - sa tseke ay nawawala ang kaugnayan nito. Tulad ng mga password sa scratch card, mayroon silang mga sequential number at ipinasok sa direksyon ng Internet banking system.

Labanan ang pandaraya, ang mga bangko ay lalong gumagamit ng isang beses na mga password hindi lamang upang kumpirmahin ang mga transaksyon sa pananalapi, kundi pati na rin para sa paunang pagpasok sa Internet banking system.

Ang ilang Internet banking system ay nag-aalok ng electronic one-time code generator.

Ang mga algorithm ng pagbuo ng OTP ay karaniwang gumagamit ng mga random na numero. Ito ay kinakailangan dahil kung hindi ay madaling hulaan ang kasunod na mga password batay sa kaalaman ng mga nauna. Ang mga partikular na algorithm ng OTP ay nag-iiba nang malaki sa detalye. Nakalista sa ibaba ang iba't ibang paraan sa paglikha ng isang beses na password.

1. Paggamit ng mga mathematical algorithm upang lumikha ng bagong password batay sa mga nauna (ang mga password ay talagang bumubuo ng isang chain, at dapat gamitin sa isang tiyak na pagkakasunud-sunod).
2. Batay sa time synchronization sa pagitan ng server at client na nagbibigay ng password (ang mga password ay may bisa sa maikling panahon).
3. Gamit ang isang mathematical algorithm, kung saan ang bagong password ay batay sa isang kahilingan (halimbawa, isang random na numero na pinili ng server o mga bahagi ng isang papasok na mensahe) at/o isang counter.

Isang beses na Password

Ginagamit upang kumpirmahin ang isang transaksyon na ginawa sa Internet, tulad ng sa isang malayong sistema ng pagbabangko. Sa industriya ng pagbabangko, ang pinakakaraniwang paraan upang magbigay ng isang beses na password ay isang mensaheng SMS, na ipinadala sa isang kliyente na nagsasagawa ng isang transaksyon sa isang Internet banking system.

Bilang karagdagan, ang isang beses na mga password ay maaaring ibigay ng bangko sa tinatawag na scratch card - isang plastic card kung saan nakatago ang mga password sa likod ng isang nabubura na takip. Sa kasong ito, ang kliyente, na nakatanggap ng tagubilin mula sa Internet banking system na magpasok ng isang beses na password (na may isang tiyak na serial number), binubura ang takip sa tabi ng nais na numero sa card at ipinasok ang code sa system.

Ito ay ginagawa, ngunit sa paglipas ng panahon, ang paraan ng pag-isyu ng isang listahan ng isang beses na mga password sa isang ATM ay nawawalan ng kaugnayan - sa isang tseke. Tulad ng mga password sa scratch card, mayroon silang mga sequential number at ipinasok sa direksyon ng Internet banking system.

Labanan ang pandaraya, ang mga bangko ay lalong gumagamit ng isang beses na mga password hindi lamang upang kumpirmahin ang mga transaksyon sa pananalapi, kundi pati na rin para sa paunang pagpasok sa Internet banking system.

Bilang isang patakaran, ang mga organisasyon ng kredito ay naglalabas ng mga card o printout na may isang beses na mga password nang walang bayad, ngunit hindi ito palaging nangyayari. Kaya, sa Uralsib, ang isang set ng isang beses na mga susi para sa pag-access sa Internet banking system ay nagkakahalaga ng kliyente ng 50 rubles, sa Master Bank, ang isang variable na code card (na naglalaman ng 132 na mga numero) ay nagkakahalaga ng kliyente ng 200 rubles.

Ang ilang mga sistema ng Internet banking, tulad ng Bank of Moscow, SMP Bank, ay nag-aalok ng isang token - isang electronic generator ng isang beses na mga code. At ang Master Bank ay nagpapatupad ng isang application para sa mga portable na device, na nagpapahintulot din sa iyo na bumuo ng isang beses na mga code.

Tingnan kung ano ang "isang beses na password" sa iba pang mga diksyunaryo:

isang beses na password- dynamic na pagpapalit ng password Ang OTP generator ay isang self-contained na portable na electronic device na may kakayahang bumuo at magpakita ng mga digital code sa built-in na LCD display. Para sa pamilya ng VASCO Digipass ng mga device, ang mekanismo… … Handbook ng Teknikal na Tagasalin

Isang beses na Password- Scratch card ng VTB24 bank na may isang beses na password Ang isang beses na password (Ingles na isang beses na password, OTP) ay isang password, wastong ... Wikipedia

Disposable notepad- Vernam cipher (isa pang pangalan: English One time pad scheme ng one-time pads) sa cryptography, isang simetriko na encryption system na naimbento noong 1917 ng mga empleyado ng AT T na sina Major Joseph Mauborn at Gilbert Vernam. Ang Vernam cipher ay ... ... Wikipedia

Isang beses na Password- Plastic card na may isang beses na password Ang isang beses na password ay isang password na may bisa lamang para sa isang proseso ng pagpapatunay para sa isang limitadong yugto ng panahon. Ang bentahe ng isang beses na password sa isang static na password ... ... Wikipedia

SecurID- RSA SecurID RSA SecurID logo ... Wikipedia

Authentication- (English Authentication) pamamaraan ng pagpapatunay ... Wikipedia

Authentication- Authentication - pagpapatunay ng pag-aari sa paksa ng pag-access ng identifier na ipinakita niya; kumpirmasyon ng pagiging tunay ... Wikipedia

Isang beses na Algorithm ng Password na nakabatay sa oras- TOTP (Time based One Time Password Algorithm, RFC 6238.) OATH algorithm para sa pagbuo ng isang beses na password para sa secure na pagpapatotoo, na isang pagpapabuti ng HOTP (HMAC Based One Time Password Algorithm). Ito ay isang one-way na algorithm ... ... Wikipedia

Tugon sa hamon (anti-spam)- Tugon sa hamon - isang diskarte para sa pagpapatunay ng user sa pamamagitan ng pagsuri sa kawastuhan ng kanyang reaksyon sa isang hindi nahuhulaang kahilingan ng system. Kadalasan, ang naturang tseke ay naglalayong makilala ang isang robot program mula sa isang tunay na tao. ... ... Wikipedia

Vernam cipher- (isa pang pangalan: One time pad scheme ng isang beses na pad) sa cryptography, isang simetriko na encryption system na naimbento noong 1917 ng mga empleyado ng AT T na sina Major Joseph Mauborn at Gilbert Vernam. Vernam cipher ... ... Wikipedia

Pagkuha ng user ID at isang beses na password sa pamamagitan ng ATM o paggamitSMS.

Isang beses na password sa pamamagitan ng ATM.

Maaari ka ring makakuha ng user ID at isang permanenteng password gamit ang isang self-service device ng Sberbank.Ipinasok namin ang card, ipasok ang PIN code. Dagdag pa sa listahan, piliin ang item na "Ikonekta ang Sberbank Online at Mobile Bank", pumunta sa isang bagong pahina. Dito kakailanganin mong mag-click sa tab na "I-print ang isang beses na password" at tanggapin ang mga ito sa anyo ng isang resibo.

Kung hindi ka pa nakakonekta sa system, piliin muna ang item na "Print ID at password" at tanggapin ang data na ito sa resibo. Pagkatapos nito, muling ipasok ang card, ipasok ang pin code at ulitin ang lahat ng mga hakbang na inilarawan sa itaas.

Isang beses na password sa pamamagitan ng SMS.

Para sa mga layuning pangseguridad, kapag nagla-log in sa system o kapag nagsasagawa ng mga mapanganib na operasyon, ang karagdagang pagpapatunay ng user ay isinasagawa gamit ang isang beses na password.

Ang mga kliyenteng gumagamit ng serbisyo ng mobile banking ay maaaring makatanggap ng isang beses na password. Nagpapadala ang bangko ng isang beses na password sa mobile device ng user sa panahon ng operasyon. Ang gumagamit ay tumatanggap ng isang mensaheng SMS na naglalaman ng mga parameter ng operasyon kung saan nilalayon ang password. Pakitandaan na ang isang beses na password ay dapat gamitin sa loob ng 5 minuto at para lamang kumpirmahin ang pagkumpleto ng isang partikular na aksyon.

Pansin! Bago magpasok ng isang beses na password, kinakailangan upang i-verify ang mga detalye ng operasyon na isinasagawa gamit ang mga detalye na tinukoy sa mensaheng SMS. Kung ang mga mensahe ay natanggap sa ngalan ng Sberbank na may mga detalye ng isang transaksyon na hindi mo ginawa, huwag magpasok ng isang beses na password sa naaangkop na mga form at huwag ibunyag ito sa sinuman, kahit na nakipag-ugnayan ka sa ngalan ng mga empleyado ng Sberbank .

Isang halimbawa ng isang SMS sa kaso ng isang operasyon upang bumuo ng isang template ng pagbabayad

54321 ay isang minsanang password na ginagamit upang kumpirmahin ang pagbuo ng template.

Isang halimbawa ng isang SMS para sa isang operasyon sa paglilipat

54321 — isang beses na password na nagpapatunay sa paglipat.

Isang halimbawa ng SMS para sa isang transaksyon sa pagbabayad

54321 — isang minsanang password na nagpapatunay sa pagbabayad.

Pagkumpirma ng mga operasyon gamit ang isang beses na password:

Upang kumpirmahin ang operasyon, isang mensahe ang ipinadala sa telepono na konektado sa serbisyo ng mobile banking kasama ang mga parameter ng operasyon at isang password para sa kumpirmasyon.

Upang makumpleto ang operasyon, kailangan mong ipasok ang password sa naaangkop na field at i-click ang pindutan KUMPIRMAHIN.

Umaasa kami na nakuha mo ang isang beses na mga password mula sa Sberbank.

Ang paggamit ng OTP (One Time Password) ay isang karagdagang layer ng seguridad kapag nagtatrabaho sa mga trading account. Sa bawat oras na kumokonekta ang user sa account, kinakailangan silang magpasok ng natatanging isang beses na password.

Gumaganap din bilang isang beses na generator ng password.

Upang simulan ang paggamit ng isang beses na mga password, kailangan mong i-link ang iyong trading account sa isang generator ng password, na isang mobile platform para sa iPhone o Android.

Paganahin ang OTP sa iPhone

Pumunta sa seksyong "Mga Setting" ng mobile platform at piliin ang OTP item. Sa unang pagkakataong buksan mo ang seksyong ito, kailangan mong magtakda ng apat na digit na password para sa karagdagang seguridad. Ang password ay kailangang ipasok sa bawat oras upang ma-access ang generator ng password.

Mga karagdagang utos:

• I-synchronize ang oras - i-synchronize ang oras ng mobile device sa reference server. Ang kinakailangan para sa katumpakan ay dahil sa ang katunayan na ang isang beses na password ay nakatali sa kasalukuyang agwat ng oras, at ang oras na ito ay dapat tumugma sa gilid ng trading platform at ng server.

Paganahin ang OTP sa isang Android device

Pumunta sa seksyong "Mga Account" ng mobile terminal at pindutin ang . Sa unang pagkakataong buksan mo ang seksyong ito, kailangan mong magtakda ng apat na digit na password para sa karagdagang seguridad. Ang password ay kailangang ipasok sa bawat oras upang ma-access ang generator ng password.

Sa window na bubukas, piliin ang "I-link sa account".

Susunod, tukuyin ang pangalan ng server kung saan binuksan ang trading account, ang account number at ang pangunahing password para dito. Dapat iwanang naka-enable ang opsyong Bind. Dapat itong i-off kung tatanggalin mo ang tinukoy na account mula sa generator at hindi na gagamit ng isang beses na password.

Pagkatapos i-click ang "Link" na buton na matatagpuan sa itaas na bahagi ng window, ang trading account ay mali-link sa generator, isang kaukulang mensahe ang lalabas.

Katulad nito, maaari mong i-link ang isang walang limitasyong bilang ng mga trading account sa generator.

Ang isang beses na password ay ipinapakita sa tuktok ng seksyon ng OTP. Sa ilalim nito, ipinapakita ng asul na bar ang indicator ng oras para sa kasalukuyang password. Kapag nag-expire na ang oras, magiging invalid ang password at bubuo ng bago.

Mga karagdagang utos:

• Baguhin ang password - baguhin ang password para sa pag-access sa generator.
• I-synchronize ang oras - i-synchronize ang oras ng mobile device sa reference server. Ang kinakailangan para sa katumpakan ay dahil sa ang katunayan na ang isang beses na password ay nakatali sa kasalukuyang agwat ng oras, at ang oras na ito ay dapat tumugma sa gilid ng terminal ng kliyente at ng server.

Paggamit ng OTP sa platform

Pagkatapos mag-link sa generator, kapag sinusubukang kumonekta sa pamamagitan ng trading platform gamit ang isang trading account, hihilingin din ang isang beses na password: