Tulad ng ipinakita ng mga kamakailang pag-aaral, ang isa sa mga pinaka-seryosong problema para sa mga kumpanya sa larangan ng seguridad ng impormasyon ay hindi awtorisadong pag-access sa mga computer system. Ayon sa CSI/FBI Computer Crime and Security Survey 2005, 55% ng mga kumpanya ang nag-ulat ng mga paglabag sa data noong nakaraang taon. Bukod dito, sa parehong taon, ang mga kumpanya ay nawalan ng average na $303,000 dahil sa hindi awtorisadong pag-access, at kumpara noong 2004, ang mga pagkalugi ay tumaas ng anim na beses.

Naturally, para sa mga kumpanyang Ruso, ang mga bilang ng pagkawala ay magiging ganap na naiiba, ngunit hindi nito binabago ang problema mismo: ang hindi awtorisadong pag-access ay nagdudulot ng malubhang pinsala sa mga kumpanya, hindi alintana kung alam ito ng pamamahala o hindi.

Malinaw na ang pagiging maaasahan ng proteksyon laban sa banta na ito ay pangunahing nakasalalay sa kalidad ng sistema ng pagpapatunay ng gumagamit. Sa ngayon, ang pakikipag-usap tungkol sa seguridad ng impormasyon nang hindi nakatali sa personalized na pag-access at pagsubaybay sa lahat ng mga aksyon ng user sa network ay sadyang walang saysay. Gayunpaman, pagdating sa pagpapatunay ng gumagamit sa mga computer na kasama sa lokal na network ng kumpanya, walang mga partikular na paghihirap. Nag-aalok ang market ng maraming iba't ibang solusyon, kabilang ang mga smart card at electronic key, biometric authentication tool, at maging ang mga kakaibang bagay tulad ng mga graphic na password.

Ang sitwasyon ay medyo naiiba kung ang gumagamit ay kailangang kumonekta sa corporate computer network nang malayuan, halimbawa, sa pamamagitan ng Internet. Sa kasong ito, maaaring harapin niya ang isang bilang ng mga problema, na isasaalang-alang namin nang mas detalyado.

Mga pitfalls ng malayuang pag-access

Ang pagiging nasa isang hindi pinagkakatiwalaang kapaligiran (sa labas ng opisina), ang gumagamit ay nahaharap sa pangangailangan na magpasok ng isang password mula sa computer ng ibang tao (halimbawa, mula sa isang Internet cafe). Ang mga password ay naka-cache, tulad ng anumang iba pang impormasyon na ipinasok sa computer, at kung ninanais, maaaring gamitin ng ibang tao ang mga ito para sa kanilang sariling makasariling layunin.

Karaniwan na ngayon ang isang uri ng pandaraya sa computer gaya ng pagsinghot (mula sa English sniff - sniff) - ang pagharang ng mga packet ng network ng isang umaatake upang makilala ang impormasyong interesado sa kanya. Gamit ang diskarteng ito, maaaring "singhot" ng isang hacker ang password ng user at gamitin ito para sa hindi awtorisadong pag-access.

Ang simpleng proteksyon ng password (lalo na para sa malayuang pag-access) ay seryosong sinusuri ng isang bagong henerasyon ng spyware na tahimik na pumapasok sa computer ng user sa panahon ng normal na "pag-flip" ng mga Web page. Maaaring i-program ang virus upang i-filter ang mga stream ng impormasyon ng isang partikular na computer upang matukoy ang mga kumbinasyon ng mga character na maaaring magsilbi bilang mga password. Ipinapadala ng "espiya" ang mga kumbinasyong ito sa lumikha nito, at ang tanging natitira na lang niyang gagawin ay ibunyag ang kinakailangang password.

Malinaw na ang paraan ng hardware sa pag-aayos ng ligtas na pag-access sa network ay ilang beses na mas maaasahan kaysa sa mga simpleng password, ngunit paano ka makakagamit ng smart card o USB key habang wala ka sa opisina muli? Malamang, hindi ito magtatagumpay, dahil ang unang aparato ay nangangailangan ng hindi bababa sa isang mambabasa, ang pangalawa ay nangangailangan ng isang USB port, na maaaring mai-block (Internet cafe) o, mas masahol pa, maaaring wala lamang ito sa device kung saan ang user. ay sinusubukang makakuha ng access (PDA, mobile phone, smartphone, atbp.). Hindi na kailangang sabihin, para sa pagpapatakbo ng hardware - mga smart card at USB key - kailangan mo ng naaangkop na software, na halos hindi posible na mai-install sa parehong Internet cafe.

Samantala, madalas na lumilitaw ang mga sitwasyon kung saan kinakailangan ang malayuang pagtanggap o pagpapadala ng impormasyon. Kunin, halimbawa, ang mga electronic banking system: madaling isipin ang isang sitwasyon kung saan ang isang user ay nangangailangan ng access upang ma-secure ang mga mapagkukunan ng pagbabangko upang malayuang pamahalaan ang kanilang account. Ngayon, napagtanto ng ilang bangko ang pangangailangan para sa pahintulot na nakabatay sa hardware gamit ang USB key. Ngunit para sa isang bilang ng mga kadahilanan na inilarawan sa itaas, ito ay malayo mula sa palaging posible na gamitin ito.

Ang mga detalye ng negosyo ng maraming malalaking kumpanya ay madalas na nag-oobliga sa kanila na magbigay ng access sa kanilang sariling mga mapagkukunan sa mga user ng third-party - mga kasosyo, mga customer, mga supplier. Ngayon sa Russia, ang ganitong uri ng pakikipagtulungan tulad ng outsourcing ay aktibong nakakakuha ng momentum: maaaring kailanganin ng isang subcontractor na kumpanya ang access sa mga protektadong mapagkukunan ng customer upang maisagawa ang trabaho sa isang order.

Ang pangangailangang kumonekta sa isang corporate network na may matibay na pamamaraan ng pagpapatotoo, na may hawak lamang na PDA o smartphone, ay maaaring maging isang seryosong problema kung ang gumagamit ay nasa isang kumperensya, mga negosasyon o iba pang mga kaganapan sa negosyo. Para lamang sa mga mobile application, pati na rin para sa pag-aayos ng pag-access sa kinakailangang impormasyon mula sa mga lugar kung saan imposibleng mag-install ng espesyal na software, ang konsepto ng isang beses na mga password na OTP - One-Time Password ay binuo.

Isang beses na password: ipinasok at nakalimutan

Ang isang beses na password ay isang keyword na wasto para lamang sa isang proseso ng pagpapatunay para sa isang limitadong tagal ng oras. Ang ganitong password ay ganap na malulutas ang problema ng posibleng pagharang ng impormasyon o banal na pagsilip. Kahit na makuha ng isang umaatake ang password ng "biktima", ang mga pagkakataong gamitin ito upang makakuha ng access ay zero.

Ang mga unang pagpapatupad ng konsepto ng isang beses na mga password ay batay sa isang static na hanay ng mga keyword, iyon ay, isang listahan ng mga password (mga key, mga salita ng code, atbp.) ay unang nabuo, na magagamit ng mga user. Ang isang katulad na mekanismo ay ginamit sa mga unang sistema ng pagbabangko na may posibilidad ng remote na pamamahala ng account. Sa pag-activate ng serbisyong ito, nakatanggap ang kliyente ng isang sobre na may listahan ng kanilang mga password. Pagkatapos, sa bawat oras na ma-access niya ang system, ginamit niya ang susunod na keyword. Nang maabot ang dulo ng listahan, pumunta ang kliyente sa bangko para sa bago. Ang solusyon na ito ay may isang bilang ng mga disadvantages, ang pangunahing kung saan ay mababa ang pagiging maaasahan. Gayunpaman, mapanganib na patuloy na magdala ng isang listahan ng mga password sa iyo, madaling mawala ito o maaari itong manakaw ng mga nanghihimasok. At pagkatapos, ang listahan ay hindi walang katapusang, ngunit paano kung sa tamang oras ay hindi posible na makarating sa bangko?

Sa kabutihang palad, ngayon ang sitwasyon ay nagbago sa pinaka-radikal na paraan. Sa pangkalahatan, sa mga bansa sa Kanluran, ang isang beses na mga password para sa pagpapatunay sa mga sistema ng impormasyon ay naging karaniwan. Gayunpaman, sa ating bansa, ang teknolohiya ng OTP ay nanatiling hindi naa-access hanggang kamakailan. At kamakailan lamang, nagsimulang mapagtanto ng pamamahala ng kumpanya kung gaano tumataas ang panganib ng hindi awtorisadong pag-access kapag nagtatrabaho nang malayuan. Ang demand, tulad ng alam mo, ay lumilikha ng supply. Ngayon ang mga produkto na gumagamit ng isang beses na mga password para sa malayuang pagpapatunay ay unti-unting nagsimulang kumuha ng kanilang lugar sa merkado ng Russia.

Gumagamit ang mga modernong teknolohiya sa pagpapatunay ng OTP ng dynamic na pagbuo ng keyword gamit ang malalakas na cryptographic algorithm. Sa madaling salita, ang data ng pagpapatunay ay resulta ng pag-encrypt ng ilang paunang halaga gamit ang pribadong key ng user. Ang impormasyong ito ay magagamit sa parehong kliyente at server. Hindi ito ipinapadala sa network at hindi magagamit para sa pagharang. Ang impormasyong kilala sa magkabilang panig ng proseso ng pagpapatotoo ay ginagamit bilang paunang halaga, at ang isang encryption key ay nilikha para sa bawat user kapag ito ay sinimulan sa system (Fig. 1).

Kapansin-pansin na sa yugtong ito sa pagbuo ng mga teknolohiya ng OTP, may mga sistema na gumagamit ng parehong simetriko at walang simetrya na cryptography. Sa unang kaso, ang parehong partido ay dapat magkaroon ng sikretong susi. Sa pangalawa, tanging ang gumagamit lamang ang nangangailangan ng lihim na susi, at ang server ng pagpapatotoo ay may pampubliko nito.

Pagpapatupad

Ang mga teknolohiya ng OTP ay binuo bilang bahagi ng Open Authentication (OATH) na inisyatiba sa industriya na inilunsad ng VeriSign noong 2004. Ang kakanyahan ng inisyatiba na ito ay upang bumuo ng isang standard na detalye para sa tunay na malakas na authentication para sa iba't ibang serbisyo sa Internet. Bukod dito, pinag-uusapan natin ang tungkol sa isang dalawang-factor na pagpapasiya ng mga karapatan ng gumagamit, kung saan ang huli ay dapat "magpakita" ng isang smart card o USB token at ang kanyang password. Kaya, ang isang beses na password ay maaaring maging karaniwang paraan ng malayuang pagpapatunay sa iba't ibang mga system.

Ngayon, maraming mga opsyon para sa pagpapatupad ng isang beses na mga sistema ng pagpapatunay ng password ay binuo at ginagamit sa pagsasanay.

Paraan ng kahilingan-tugon. Ang prinsipyo ng pagpapatakbo nito ay ang mga sumusunod: sa simula ng pamamaraan ng pagpapatunay, ipinapadala ng user ang kanyang pag-login sa server. Bilang tugon, ang huli ay bumubuo ng ilang random na string at ibinabalik ito. Ini-encrypt ng user ang data na ito gamit ang kanyang susi at ibinabalik ito sa server. Ang server sa oras na ito ay "hinahanap" ang sikretong susi ng ibinigay na user sa memorya nito at ini-encode ang orihinal na string sa tulong nito. Susunod, ang paghahambing ng parehong mga resulta ng pag-encrypt ay isinasagawa. Kung ganap na tumugma ang mga ito, maituturing na matagumpay ang pagpapatunay. Ang pamamaraang ito ng pagpapatupad ng isang beses na teknolohiya ng password ay tinatawag na asynchronous, dahil ang proseso ng pagpapatunay ay hindi nakasalalay sa kasaysayan ng gumagamit sa server at iba pang mga kadahilanan.

Paraang "Sagutin lamang". Sa kasong ito, ang algorithm ng pagpapatunay ay medyo mas simple. Sa pinakadulo simula ng proseso, ang software o hardware ng user ay nakapag-iisa na bumubuo ng paunang data, na ie-encrypt at ipapadala sa server para sa paghahambing. Sa kasong ito, ang halaga ng nakaraang kahilingan ay ginagamit sa proseso ng paglikha ng isang row. Ang server ay mayroon ding impormasyong ito; alam ang username, hinahanap nito ang halaga ng dati nitong kahilingan at bumubuo ng eksaktong parehong string gamit ang parehong algorithm. Ang pag-encrypt nito gamit ang sikretong key ng user (ito ay nakaimbak din sa server), ang server ay tumatanggap ng isang halaga na dapat ganap na tumugma sa data na ipinadala ng user.

Paraan ng pag-synchronize ng oras. Sa loob nito, ang kasalukuyang mga pagbabasa ng timer ng isang espesyal na aparato o computer kung saan gumagana ang isang tao ay ginagamit bilang paunang linya. Sa kasong ito, hindi isang eksaktong indikasyon ng oras ang karaniwang ginagamit, ngunit ang kasalukuyang agwat na may paunang itinakda na mga hangganan (halimbawa, 30 s). Ang data na ito ay naka-encrypt gamit ang isang pribadong key at ipinadala sa cleartext sa server kasama ang username. Ang server, sa pagtanggap ng kahilingan sa pagpapatunay, ay nagsasagawa ng parehong mga aksyon: natatanggap nito ang kasalukuyang oras mula sa timer nito at ini-encrypt ito. Pagkatapos nito, kailangan lang niyang ihambing ang dalawang halaga: kinakalkula at natanggap mula sa isang malayong computer.

Paraan na "pag-synchronize ayon sa kaganapan". Sa prinsipyo, ang pamamaraang ito ay halos magkapareho sa nauna, hindi lamang nito ginagamit ang oras bilang paunang string, ngunit ang bilang ng mga matagumpay na pamamaraan ng pagpapatunay na isinagawa bago ang kasalukuyang isa. Ang halagang ito ay kinakalkula ng magkabilang partido nang hiwalay sa isa't isa.

Ang ilang mga sistema ay nagpapatupad ng tinatawag na mixed method, kung saan dalawang uri ng impormasyon o higit pa ang ginagamit bilang paunang halaga. Halimbawa, may mga system na isinasaalang-alang ang parehong mga counter ng pagpapatunay at mga built-in na timer. Iniiwasan ng diskarteng ito ang maraming disadvantages ng mga indibidwal na pamamaraan.

Mga kahinaan sa teknolohiya ng OTP

Ang teknolohiya ng isang beses na mga password ay itinuturing na lubos na maaasahan. Gayunpaman, para sa kapakanan ng objectivity, tandaan namin na mayroon din itong mga disbentaha kung saan napapailalim ang lahat ng system na nagpapatupad ng prinsipyo ng OTP sa dalisay nitong anyo. Ang ganitong mga kahinaan ay maaaring nahahati sa dalawang grupo. Kasama sa una ang potensyal na mapanganib na "mga butas" na likas sa lahat ng mga paraan ng pagpapatupad. Ang pinaka-seryoso sa kanila ay ang posibilidad na ma-spoof ang server ng pagpapatunay. Sa kasong ito, direktang ipapadala ng user ang kanyang data sa attacker, na maaaring agad na magamit ang mga ito para ma-access ang totoong server. Sa kaso ng paraan ng kahilingan-tugon, ang algorithm ng pag-atake ay bahagyang mas kumplikado (ang computer ng hacker ay dapat gumanap ng papel ng isang "tagapamagitan", na dumadaan sa proseso ng pagpapalitan ng impormasyon sa pagitan ng server at ng kliyente). Gayunpaman, ito ay nagkakahalaga ng noting na sa pagsasagawa ito ay hindi sa lahat ng madaling isagawa ang naturang pag-atake.

Ang isa pang kahinaan ay likas lamang sa mga magkakasabay na pamamaraan at nauugnay sa katotohanang may panganib ng pag-desynchronize ng impormasyon sa server at sa software o hardware ng user. Ipagpalagay, sa ilang sistema, ang paunang data ay ang mga pagbabasa ng mga panloob na timer, at sa ilang kadahilanan ay hindi na sila nag-tutugma sa isa't isa. Sa kasong ito, mabibigo ang lahat ng pagtatangka ng user na magpatotoo (unang uri ng error). Sa kabutihang palad, sa ganitong mga kaso, ang isang error ng pangalawang uri (ang pag-amin ng "dayuhan") ay hindi maaaring lumabas. Gayunpaman, ang posibilidad ng paglitaw ng inilarawan na sitwasyon ay napakaliit din.

Ang ilang mga pag-atake ay naaangkop lamang sa ilang mga paraan ng pagpapatupad ng isang beses na teknolohiya ng password. Halimbawa, muli nating kunin ang paraan ng pag-synchronize ng timer. Tulad ng nasabi na natin, ang oras ay hindi isinasaalang-alang dito na may katumpakan ng isang segundo, ngunit sa loob ng ilang paunang natukoy na agwat. Ginagawa ito na isinasaalang-alang ang posibilidad ng pag-desynchronize ng timer, pati na rin ang hitsura ng mga pagkaantala sa paghahatid ng data. At ito ay tiyak na sandaling ito na ang isang umaatake ay maaaring theoretically gamitin upang makakuha ng hindi awtorisadong pag-access sa isang remote system. Upang magsimula, ang hacker ay "nakikinig" sa trapiko ng network mula sa user patungo sa server ng pagpapatunay at naharang ang login at isang beses na password na ipinadala ng "biktima". Pagkatapos ay agad niyang hinarangan ang kanyang computer (na-overload ito, sinira ang koneksyon, atbp.) at nagpapadala ng data ng pahintulot mula sa kanyang sarili. At kung ang umaatake ay namamahala na gawin ito nang napakabilis na ang agwat ng pagpapatunay ay walang oras upang baguhin, pagkatapos ay kinikilala siya ng server bilang isang rehistradong gumagamit.

Malinaw na para sa gayong pag-atake, ang isang umaatake ay dapat na makinig sa trapiko, pati na rin mabilis na harangan ang computer ng kliyente, at ito ay hindi isang madaling gawain. Ang pinakamadaling paraan upang matugunan ang mga kundisyong ito ay kapag ang pag-atake ay naplano nang maaga, at upang kumonekta sa remote system, ang "biktima" ay gagamit ng isang computer mula sa isang dayuhang lokal na network. Sa kasong ito, ang hacker ay maaaring "gumana" sa isa sa mga PC nang maaga, na makontrol ito mula sa isa pang makina. Mapoprotektahan mo ang iyong sarili mula sa gayong pag-atake sa pamamagitan lamang ng paggamit ng mga "pinagkakatiwalaang" gumaganang makina (halimbawa, ang iyong sariling laptop o PDA) at "independiyenteng" secure (halimbawa, gamit ang SSL) na mga channel sa pag-access sa Internet.

Kalidad ng pagpapatupad

Ang pagiging maaasahan ng anumang sistema ng seguridad ay higit na nakasalalay sa kalidad ng pagpapatupad nito. Ang lahat ng praktikal na solusyon ay may kanilang mga disbentaha na maaaring gamitin ng mga umaatake para sa kanilang sariling mga layunin, at ang mga "butas" na ito ay kadalasang hindi direktang nauugnay sa teknolohiyang ipinapatupad. Ganap na naaangkop ang panuntunang ito sa mga system ng pagpapatotoo batay sa isang beses na mga password. Tulad ng nabanggit sa itaas, ang mga ito ay batay sa paggamit ng mga cryptographic algorithm. Ito ay nagpapataw ng ilang mga obligasyon sa mga developer ng naturang mga produkto - pagkatapos ng lahat, ang mahinang pagganap ng anumang algorithm o, halimbawa, ang isang random na generator ng numero ay maaaring malagay sa panganib ang seguridad ng impormasyon.

Ang isang beses na generator ng password ay ipinapatupad sa dalawang paraan: software at hardware. Ang una sa kanila, siyempre, ay hindi gaanong maaasahan. Ang katotohanan ay ang utility ng kliyente ay dapat mag-imbak ng lihim na susi ng gumagamit. Magagawa ito nang higit pa o hindi gaanong ligtas sa pamamagitan lamang ng pag-encrypt ng susi mismo batay sa isang personal na password. Sa kasong ito, dapat itong isaalang-alang na ang utility ng kliyente ay dapat na mai-install sa device (PDA, smartphone, atbp.) Kung saan kasalukuyang tumatakbo ang session. Kaya, lumalabas na ang pagpapatunay ng empleyado ay nakasalalay sa isang solong password, habang mayroong maraming mga paraan upang malaman o hulaan ito. At ito ay malayo sa tanging kahinaan ng software na isang beses na generator ng password.

Ang iba't ibang mga aparato para sa pagpapatupad ng hardware ng mga teknolohiya ng OTP ay hindi maihahambing na mas maaasahan. Hal. "paraan). Ang pangunahing kahinaan ng naturang mga aparato ay nauugnay sa katotohanan na maaari silang manakaw o mawala. Mapoprotektahan mo lang ang system mula sa isang nanghihimasok kung gumagamit ka ng maaasahang proteksyon ng memorya ng device gamit ang isang lihim na key.

kanin. 2. RSA SecurID OTP device.

Ang diskarte na ito ay ipinatupad sa mga smart card at USB token. Upang ma-access ang kanilang memorya, dapat ipasok ng user ang kanilang PIN. Idinagdag namin na ang mga naturang device ay protektado mula sa pagpili ng PIN-code: kung inilagay mo ang maling halaga nang tatlong beses, ma-block ang mga ito. Ang maaasahang pag-iimbak ng pangunahing impormasyon, pagbuo ng hardware ng mga pares ng key at pagpapatupad ng mga cryptographic na operasyon sa isang pinagkakatiwalaang kapaligiran (sa isang smart card chip) ay hindi nagpapahintulot sa isang umaatake na kunin ang lihim na susi at gumawa ng duplicate ng isang beses na device para sa pagbuo ng password.

Halimbawa ng Pagpapatupad ng OTP

Kaya, ang mga smart card at USB token ay itinuturing na pinaka-maaasahang isang beses na generator ng password, na protektado mula sa halos lahat ng mga kahinaan sa pagpapatupad. Bukod dito, ang huli ay malinaw na mas maginhawa: maaari silang magamit sa anumang PC o laptop nang walang karagdagang mga mambabasa na kinakailangan para sa mga smart card. Bukod dito, mayroong isang pagpapatupad ng isang USB dongle na may teknolohiyang OTP, na maaaring gumana nang walang USB port. Ang isang halimbawa ng naturang electronic key ay ang eToken NG-OTP mula sa Aladdin (Larawan 3).

Kapansin-pansin na si Aladdin (http://www.aladdin.com) ay aktibong kasangkot sa pagtataguyod ng inisyatiba ng OATH na binanggit sa itaas, at ang susi na tinalakay dito ay pinili bilang pangunahing bahagi ng solusyon sa VeriSign Unified Authentication. Totoo, iba ang tawag dito sa system na ito: eToken VeriSign. Ang pangunahing layunin ng solusyon na ito ay upang madagdagan ang tiwala sa mga transaksyon na natapos sa pamamagitan ng Internet, at ito ay batay sa malakas na two-factor na pagpapatotoo batay sa isang hardware key. Ang ganitong mga paghahatid ng OEM ng produktong eToken NG-OTP ay nagpapatunay sa kalidad at pagsunod nito sa lahat ng mga detalye ng OATH.

Ang mga device ng serye ng eToken ay medyo laganap sa Russia. Ang mga nangungunang tagagawa gaya ng Microsoft, Cisco, Oracle, Novell, atbp. ay nagbibigay ng kanilang suporta sa kanilang mga produkto (ang "track record" ng eToken ay may higit sa 200 mga pagpapatupad na may mga application ng seguridad ng impormasyon).

Kaya, ang eToken NG-OTP ay batay sa isa pang hardware key, ang pinakasikat na modelo sa linya ay ang eToken PRO. Ito ay isang ganap na token batay sa isang secure na memory smart card chip na maaaring magamit upang ligtas na mag-imbak ng pangunahing impormasyon, mga profile ng user at iba pang kumpidensyal na data, upang magsagawa ng mga cryptographic na kalkulasyon sa hardware at gumana sa mga asymmetric key at X.509 certificate.

Sa eToken NG-OTP dongle, bilang karagdagan sa mga module na nagpapatupad ng mga kakayahan na inilarawan sa itaas, mayroong isang hardware na isang beses na generator ng password (Fig. 4). Gumagana ito ayon sa pamamaraang "pag-synchronize ayon sa kaganapan". Ito ang pinaka-maaasahang pagpapatupad ng teknolohiyang OTP sa mga magkakasabay na opsyon (na may mas kaunting panganib ng desynchronization). Ang isang beses na algorithm ng pagbuo ng password na ipinatupad sa eToken NG-OTP key ay binuo bilang bahagi ng OATH initiative (ito ay batay sa teknolohiya ng HMAC). Ang kakanyahan nito ay nakasalalay sa pagkalkula ng halaga ng HMAC-SHA-1 at pagkatapos ay sa pagpapatakbo ng pagputol (pagpili) ng anim na numero mula sa nagresultang 160-bit na halaga. Nagsisilbi silang parehong isang beses na password.

Ang isang kawili-wiling tampok ng pinagsamang susi ng eToken NG-OTP ay ang kakayahang gumamit ng isang beses na mga password kahit na hindi ikinokonekta ang susi sa isang computer. Ang proseso ng pagbuo ng OTP ay maaaring simulan sa pamamagitan ng pagpindot sa isang espesyal na pindutan na matatagpuan sa katawan ng device (Larawan 5), at ang resulta nito sa kasong ito ay ipapakita sa built-in na LCD display. Ginagawang posible ng diskarteng ito na gumamit ng teknolohiyang OTP kahit sa mga device na walang mga USB port (smartphone, PDA, cell phone, atbp.) at sa mga computer kung saan naka-block ang mga ito.

Ang pinaka-maaasahan ay ang halo-halong mode ng pagpapatakbo ng itinuturing na susi. Upang magamit ito, ang aparato ay dapat na konektado sa isang PC. Dito pinag-uusapan natin ang tungkol sa dalawang-factor na pagpapatotoo, na ipinatupad sa maraming paraan. Sa isang kaso, upang makakuha ng access sa network, kinakailangan na gamitin ang sariling password ng gumagamit upang maipasok ito, pati na rin ang halaga ng OTP. Ang isa pang opsyon ay nangangailangan ng isang beses na password at isang halaga ng OTP PIN (ipinapakita sa key screen).

Naturally, ang eToken NG-OTP key ay maaaring gumana bilang isang karaniwang USB token - para sa pagpapatunay ng user gamit ang mga digital na sertipiko at teknolohiya ng PKI, para sa pag-iimbak ng mga personal na susi, atbp. Kaya, ipinapayong gamitin ang produktong pinag-uusapan sa isang malawak na hanay ng mga proyekto nauugnay sa pangangailangan para sa secure na malayuang pag-access at dalawang-factor na pagpapatotoo. Ang paggamit ng naturang hybrid key sa isang enterprise scale ay nagbibigay-daan sa mga user na gamitin ang kanilang mga susi sa loob ng opisina at sa labas nito. Binabawasan ng diskarteng ito ang gastos ng paglikha ng isang sistema ng seguridad ng impormasyon nang hindi binabawasan ang pagiging maaasahan nito.

Summing up

Kaya, ang konsepto ng isang beses na password ng OTP, kasama ng mga modernong pamamaraan ng cryptographic, ay maaaring gamitin upang ipatupad ang maaasahang remote na mga sistema ng pagpapatunay. Ang teknolohiyang ito ay may isang bilang ng mga makabuluhang pakinabang. Una, ito ay pagiging maaasahan. Ngayon, walang napakaraming paraan para talagang "malakas" na pagpapatunay ng user kapag nagpapadala ng impormasyon sa mga bukas na channel ng komunikasyon. Samantala, ang problemang ito ay nagiging mas at mas karaniwan. At ang isang beses na mga password ay isa sa mga pinaka-promising na solusyon nito.

Ang pangalawang bentahe ng isang beses na mga password ay ang paggamit ng "karaniwang" cryptographic algorithm. Nangangahulugan ito na ang mga kasalukuyang pag-unlad ay angkop na angkop upang ipatupad ang isang sistema ng pagpapatunay gamit ang OTP. Sa katunayan, malinaw na pinatutunayan nito ang parehong eToken NG-OTP key, na katugma sa mga domestic crypto provider. Ang ganitong mga token ay maaaring gamitin sa mga umiiral na sistema ng seguridad ng kumpanya nang hindi binabago ang mga ito. Bilang resulta, ang isang beses na teknolohiya ng password ay maaaring ipatupad sa medyo mababang gastos.

Ang isa pang plus ng isang beses na mga password ay ang proteksyon ay mahinang nakadepende sa kadahilanan ng tao. Totoo, hindi ito nalalapat sa lahat ng mga pagpapatupad nito. Tulad ng sinabi namin, ang pagiging maaasahan ng maraming isang beses na mga programa ng password ay nakasalalay sa kalidad ng PIN na ginamit. Gumagamit ang mga generator ng hardware batay sa mga USB token ng ganap na two-factor authentication. At sa wakas, ang pang-apat na bentahe ng konsepto ng OTP ay ang kaginhawahan nito para sa mga gumagamit. Ang pagkuha ng access sa kinakailangang impormasyon gamit ang isang beses na mga password ay hindi mas mahirap kaysa sa paggamit ng mga static na keyword para sa layuning ito. Ito ay lalong kaaya-aya na ang ilang mga pagpapatupad ng hardware ng itinuturing na teknolohiya ay maaaring gamitin sa anumang device, anuman ang mga port na umiiral dito at ang naka-install na software.

Isang beses na Password

Ginagamit upang kumpirmahin ang isang transaksyon na ginawa sa Internet, tulad ng sa isang malayong sistema ng pagbabangko. Sa industriya ng pagbabangko, ang pinakakaraniwang paraan upang magbigay ng isang beses na password ay isang mensaheng SMS, na ipinadala sa isang kliyente na nagsasagawa ng isang transaksyon sa isang Internet banking system.

Bilang karagdagan, ang isang beses na mga password ay maaaring ibigay ng bangko sa tinatawag na scratch card - isang plastic card kung saan nakatago ang mga password sa likod ng isang nabubura na takip. Sa kasong ito, ang kliyente, na nakatanggap ng tagubilin mula sa Internet banking system na magpasok ng isang beses na password (na may isang tiyak na serial number), binubura ang takip sa tabi ng nais na numero sa card at ipinasok ang code sa system.

Ito ay isinasagawa, ngunit sa paglipas ng panahon, ang paraan ng pag-isyu ng isang listahan ng isang beses na mga password sa isang ATM ay nawawalan ng kaugnayan - sa isang tseke. Tulad ng mga password sa scratch card, mayroon silang mga sequential number at ipinasok sa direksyon ng Internet banking system.

Labanan ang pandaraya, ang mga bangko ay lalong gumagamit ng isang beses na mga password hindi lamang upang kumpirmahin ang mga transaksyon sa pananalapi, kundi pati na rin para sa paunang pagpasok sa Internet banking system.

Bilang isang patakaran, ang mga organisasyon ng kredito ay naglalabas ng mga card o printout na may isang beses na mga password nang walang bayad, ngunit hindi ito palaging nangyayari. Kaya, sa Uralsib, ang isang set ng isang beses na mga susi para sa pag-access sa Internet banking system ay nagkakahalaga ng kliyente ng 50 rubles, sa Master Bank, ang isang variable na code card (na naglalaman ng 132 na mga numero) ay nagkakahalaga ng kliyente ng 200 rubles.

Ang ilang mga sistema ng pagbabangko sa Internet, tulad ng Bank of Moscow, SMP Bank, ay nag-aalok ng isang token - isang elektronikong generator ng isang beses na mga code. At ang Master Bank ay nagpapatupad ng isang application para sa mga portable na device, na nagbibigay-daan din sa iyo na bumuo ng isang beses na mga code.

Tingnan kung ano ang "isang beses na password" sa iba pang mga diksyunaryo:

isang beses na password- dynamic na pagpapalit ng password Ang OTP generator ay isang self-contained na portable na electronic device na may kakayahang bumuo at magpakita ng mga digital code sa built-in na LCD display. Para sa pamilya ng VASCO Digipass ng mga device, ang mekanismo… … Handbook ng Teknikal na Tagasalin

Isang beses na Password- Scratch card ng VTB24 bank na may isang beses na password Ang isang beses na password (Ingles na isang beses na password, OTP) ay isang password, wastong ... Wikipedia

Disposable notepad- Vernam cipher (isa pang pangalan: English One time pad scheme ng one-time pads) sa cryptography, isang simetriko na encryption system na naimbento noong 1917 ng mga empleyado ng AT T na sina Major Joseph Mauborn at Gilbert Vernam. Ang Vernam cipher ay ... ... Wikipedia

Isang beses na Password- Plastic card na may isang beses na password Ang isang beses na password ay isang password na may bisa lamang para sa isang proseso ng pagpapatunay para sa isang limitadong yugto ng panahon. Ang bentahe ng isang beses na password sa isang static na password ... ... Wikipedia

SecurID- RSA SecurID RSA SecurID logo ... Wikipedia

Authentication- (English Authentication) pamamaraan ng pagpapatunay ... Wikipedia

Authentication- Authentication - pagpapatunay ng pag-aari sa paksa ng pag-access ng identifier na ipinakita niya; kumpirmasyon ng pagiging tunay ... Wikipedia

Isang beses na Algorithm ng Password na nakabatay sa oras- TOTP (Time based One Time Password Algorithm, RFC 6238.) OATH algorithm para sa pagbuo ng isang beses na password para sa secure na pagpapatotoo, na isang pagpapabuti ng HOTP (HMAC Based One Time Password Algorithm). Ito ay isang one-way na algorithm ... ... Wikipedia

Tugon sa hamon (anti-spam)- Tugon sa hamon - isang diskarte para sa pagpapatunay ng user sa pamamagitan ng pagsuri sa kawastuhan ng kanyang reaksyon sa isang hindi nahuhulaang kahilingan ng system. Kadalasan, ang naturang tseke ay naglalayong makilala ang isang robot program mula sa isang tunay na tao. ... ... Wikipedia

Vernam cipher- (isa pang pangalan: One time pad scheme ng isang beses na pad) sa cryptography, isang simetriko na encryption system na naimbento noong 1917 ng mga empleyado ng AT T na sina Major Joseph Mauborn at Gilbert Vernam. Vernam cipher ... ... Wikipedia

Isang beses na Password(isang beses na password, OTP) ay isang password na valid para sa isang session lamang. Ang bisa ng isang beses na password ay maaari ding limitahan sa isang tiyak na tagal ng panahon. Ang bentahe ng isang beses na password kaysa sa isang static ay ang password ay hindi magagamit muli. Kaya, ang isang umaatake na humarang ng data mula sa isang matagumpay na sesyon ng pagpapatotoo ay hindi maaaring gumamit ng nakopyang password upang makakuha ng access sa protektadong sistema ng impormasyon. Ang paggamit ng isang beses na password ay hindi mismo nagpoprotekta laban sa mga pag-atake batay sa aktibong panghihimasok sa channel ng komunikasyon na ginagamit para sa pagpapatunay (halimbawa, laban sa mga pag-atake ng tao sa gitna).

Upang lumikha ng isang beses na mga password, isang isang beses na generator ng password ay ginagamit, na magagamit lamang sa user na ito. Karaniwan, ang isang beses na password ay ipinakita bilang isang hanay ng mga numero at ginagamit upang ma-access ang mga remote service system. Ito ang mga panloob na sistema ng impormasyon ng organisasyon.

Sa industriya ng pagbabangko, ang pinakakaraniwang paraan upang magbigay ng isang beses na password ay isang SMS na mensahe na ipinapadala ng bangko sa isang kliyente na gumagastos sa Internet banking system.

Bilang karagdagan, ang isang beses na mga password ay maaaring ibigay ng bangko sa tinatawag na scratch card - isang plastic card kung saan nakatago ang mga password sa likod ng isang nabubura na takip. Sa kasong ito, ang kliyente, na nakatanggap ng tagubilin mula sa Internet banking system na magpasok ng isang beses na password (na may isang tiyak na serial number), binubura ang takip sa tabi ng nais na numero sa card at ipinasok ang code sa system.

Ito ay isinasagawa, ngunit sa paglipas ng panahon, ang paraan ng pag-isyu ng isang listahan ng isang beses na mga password sa - sa tseke ay nawawala ang kaugnayan nito. Tulad ng mga password sa scratch card, mayroon silang mga sequential number at ipinasok sa direksyon ng Internet banking system.

Labanan ang pandaraya, ang mga bangko ay lalong gumagamit ng isang beses na mga password hindi lamang upang kumpirmahin ang mga transaksyon sa pananalapi, kundi pati na rin para sa paunang pagpasok sa Internet banking system.

Ang ilang Internet banking system ay nag-aalok ng electronic generator ng isang beses na code.

Ang mga algorithm ng pagbuo ng OTP ay karaniwang gumagamit ng mga random na numero. Ito ay kinakailangan dahil kung hindi ay madaling hulaan ang kasunod na mga password batay sa kaalaman ng mga nauna. Ang mga partikular na algorithm ng OTP ay nag-iiba nang malaki sa detalye. Nakalista sa ibaba ang iba't ibang paraan sa paggawa ng isang beses na password.

1. Paggamit ng mga mathematical algorithm upang lumikha ng bagong password batay sa mga nauna (ang mga password ay talagang bumubuo ng isang chain, at dapat gamitin sa isang tiyak na pagkakasunud-sunod).
2. Batay sa time synchronization sa pagitan ng server at client na nagbibigay ng password (ang mga password ay may bisa sa maikling panahon).
3. Gamit ang isang mathematical algorithm, kung saan ang bagong password ay batay sa isang kahilingan (halimbawa, isang random na numero na pinili ng server o mga bahagi ng isang papasok na mensahe) at/o isang counter.

Ang user ID (o login) at isang permanenteng password ay ginagamit sa tuwing ipasok mo ang iyong personal na account ng Sberbank Online system. Ang unang hakbang na ito ng proteksyon ay dinadagdagan ng isang beses na password na ipinadala sa isang mensaheng SMS.

Ang Sberbank Online System ay gumagamit ng dalawang uri ng isang beses na password. Nabanggit na namin ang una, ito ay mga password na ipinadala sa isang mobile phone na konektado sa serbisyo ng Sberbank Mobile Banking. At ang pangalawang uri ay isang tseke na may listahan ng 20 mga password na natanggap sa pamamagitan ng isang terminal device.
Ang isang beses na password na natanggap sa anyo ng SMS ay itinuturing na mas ligtas kaysa sa mga naka-print sa isang resibo, kaya ang ilang mga transaksyon sa Sberbank Online ay maaari lamang isagawa gamit ang mga naturang password.

Para sa seguridad ng transaksyon sa pagbabayad na isinasagawa, ang isang beses na SMS na password ay ipinadala sa mobile phone sa panahon ng operasyon, at ang mensahe ng SMS ay nagpapahiwatig din ng mga parameter ng operasyong ito, kung saan ang password na ito ay inilaan.
Ang isang beses na SMS na password ay may bisa lamang para sa pagkumpirma ng isang partikular na operasyon. Kapag bumubuo ng susunod na isang beses na password na natanggap sa pamamagitan ng Mobile Bank, ang impormasyon tungkol sa nakaraang password ay nawasak.

Ano ang pinakamahusay na minsanang mga password na gagamitin?

Kung ang card ay konektado sa serbisyo ng Mobile Banking, pagkatapos ay kapag ipinasok ang iyong personal na account, tiyak na kakailanganin mong tukuyin ang isang beses na password na ipinadala sa anyo ng SMS. Dagdag pa, pagkatapos mag-log in, magkakaroon ka ng pagkakataong piliin ang paraan ng pagkumpirma ng mga transaksyon gamit ang isang beses na password o isang password mula sa isang resibo. Sa kondisyon na ang pagkumpirma ng operasyong ito ay maaaring gawin ng alinman sa mga inilarawang uri ng isang beses na password.
Ito ay napaka-maginhawa, dahil ang mobile na komunikasyon ay maaaring minsan ay "tumanggi" o maantala ang isang mensaheng SMS, dahil ang isang beses na password ay may bisa lamang sa loob ng 300 segundo. At pagkatapos ay maaari mong gamitin ang mga password mula sa tseke.

Sa kasong ito, lilitaw ang naturang window, kung saan ipapakita ang serial number ng isang beses na password. I-cross out ang mga "nagamit na" na password o ilagay ang "mga checkmark". Ito ay kinakailangan upang malaman mo kung gaano karaming mga password ang natitira sa tseke at makatanggap ng isang bagong listahan sa ATM sa isang napapanahong paraan.

Ang artikulo ay para sa mga layuning pang-impormasyon lamang at hindi naglalaman ng lahat ng mga detalye tungkol sa Sberbank Online system. Ang karagdagang impormasyon ay matatagpuan sa website ng bangko.
Tandaan din ang petsa ng publikasyon. Marahil sa oras na ito ang ilan sa mga impormasyon ay nagbago o luma na.
Petsa ng publikasyon: 18/10/2015

Ang pag-login ng gumagamit ay ginagamit upang makapasok sa Sberbank Online. Paano gumawa ng login para maipasok ang iyong personal na account.

Ang Sberbank online ay isang modernong serbisyo para sa malayong serbisyo sa customer ng Sberbank sa pamamagitan ng Internet. Mga pagkakataon ng Sberbank system online.

Maglipat mula sa card patungo sa card sa Sberbank Online. Ang halaga ng komisyon para sa paglilipat ng pera sa pamamagitan ng Sberbank Online.

Ngayon, madalas na ginagamit ng mga tao ang Internet banking para magbayad ng mga bill, alimony, at loan. Ang mga bagong teknolohiya ay nagpapahintulot sa isang tao, nakaupo sa isang computer, na magbukas ng isang account o isang deposito, upang suriin ang balanse ng pera sa kanyang card. Ang paggamit ng Internet banking ay nagpapahintulot sa iyo na makabuluhang makatipid ng oras nang hindi gumagastos ng pera sa pagbabayad ng isang komisyon sa karamihan ng mga kaso. Ang kailangan mo lang ay pag-access sa iyong personal na account sa Online Sberbank system.

Hindi alam ng lahat kung paano makakuha ng isang listahan ng isang beses na mga password para sa layunin ng karagdagang kumpirmasyon ng mga operasyon na isinagawa mula sa personal na account ng Sberbank.

Ang pangangailangan upang makakuha ng data ng pagkakakilanlan

Upang magsagawa ng mga operasyon gamit ang mga account at card, ang isang tao ay dapat munang makatanggap ng isang permanenteng password. Magagawa ito sa maraming paraan, halimbawa, makipag-ugnayan sa sangay ng bangko. Kadalasan, ang mga tao ay gumagamit ng mga ATM upang makakuha ng data.

Awtomatikong nangyayari ang pagbuo sa kahilingan ng may hawak ng card. Maaaring baguhin ang data sa ibang pagkakataon. Pinakamainam na gumamit ng mga kumplikadong kumbinasyon upang mapataas ang antas ng seguridad ng iyong personal na account.

Bakit kailangan mo ng isang beses na password?

Ang isang beses na password ay kailangan para sa karagdagang pag-verify ng pagkakakilanlan ng isang kliyente ng Sberbank. Ang ganitong sistema ng pagkakakilanlan ay kinakailangan:

1. sa pahintulot sa iyong personal na account;
2. kapag nagsasagawa ng iba't ibang mga operasyon gamit ang kanilang mga card, deposito, mga account sa pamamagitan ng Internet banking system.

Mayroong mga sumusunod na uri ng isang beses na password:

• mga tseke na naka-print gamit ang mga ATM o terminal (naglalaman sila ng 20 magkakaibang mga password nang sabay-sabay);
• mga password na natanggap sa isang mensahe mula sa Sberbank sa telepono nang direkta sa panahon ng isang partikular na operasyon.

Ang ilang mga operasyon sa sistema ng Sberbank Online ay maaaring isagawa lamang pagkatapos na makumpirma gamit ang isang password sa SMS.

Ang anumang mga transaksyon sa pananalapi ay inirerekomenda na isagawa gamit ang isang beses na mga password. Maaaring hindi paganahin ng user ang Sberbank Online, ngunit hindi nito maililigtas siya mula sa paggamit ng isang beses na mga password. Kaya, kapag nagtatrabaho sa iba't ibang mga programa sa bangko, ang kanilang input ay kinakailangan upang kumpirmahin ang mga transaksyon.

Pagtanggap ng isang beses na password

Mayroong ilang mga paraan upang makakuha ng isang beses na mga password. Hindi namin dapat kalimutan na upang gumana sa Internet banking system, kakailanganin mo ng isang pag-login at isang permanenteng password.
Sa pamamagitan ng Sberbank ATM
Ang kliyente ay dapat na may hawak ng debit (credit ay hindi gagana) card ng Sberbank ng Russian Federation. Maaaring ito ay suweldo o kard ng pagbabayad. Kung may available, kailangan mong dalhin ito at pumunta sa pinakamalapit na terminal o ATM (magkapareho ang pamamaraan para sa pagkuha nito).

1. Kinakailangang ipasok ang card sa card reader.
2. Ilagay ang confirmation code sa kahilingan ng system.
3. Lilitaw ang pangunahing menu, kung saan dapat kang mag-click sa seksyong "Sberbank Online at Mobile Bank". Kung ang ATM ay may lumang software na naka-install, kung gayon ang item na ito ay wala doon. Sa kasong ito, kakailanganin mong mag-click sa pindutan ng "Serbisyo sa Internet".
4. Sa menu na bubukas, mag-click sa button na "Kumuha ng listahan ng mga minsanang password." Ang ATM ay magpi-print ng isang listahan ng mga password, mayroong 20 sa kanila.

Ang mga password sa listahan ay walang tiyak na oras. Kung ang gumagamit ay nag-print ng mga bagong password, ang mga luma ay magiging hindi wasto - hindi na magagamit ang mga ito.

Upang gawing mas maginhawa para sa kliyente na gumamit ng mga password, lahat sila ay may sariling numero. Kapag gumagawa ng anumang mga transaksyon sa Internet, ang Internet banking system ay mangangailangan sa gumagamit na magpasok ng isang beses na password na may isang tiyak na numero. Hinihiling ang mga ito sa random na pagkakasunud-sunod, kaya kailangan mong bigyang pansin ang mensahe ng system na humihiling sa iyo na magpasok ng isang beses na password.

Kinakailangang bigyang-pansin ang katotohanan na ang mga pagbabayad at paglilipat, na kinumpirma ng isang beses na password mula sa isang tseke, ay hindi maaaring lumampas sa halagang 3,000 rubles.

Matapos ang lahat ng 20 password mula sa tseke ay tapos na, kailangan mong kumuha ng mga bago sa parehong paraan tulad ng mga nauna.

Kung nawala ang tseke gamit ang mga password o nalaman ng ibang tao ang data nito, kailangan mong agad na mag-print ng mga bago o harangan ang mga luma. Upang gawin ito, tawagan ang contact center sa isa sa mga sumusunod na numero –

• +7 (4 9 5 ) 5 0 0 - 5 5 5 0 ;
• +7 (8 0 0 ) 5 5 5 - 5 5 5 0 .

Sa pamamagitan ng SMS
Ang pamamaraang ito ng pagkuha ng isang beses na mga password ay magagamit lamang sa mga customer na dati nang nakakonekta sa serbisyo ng Mobile Banking sa kanilang card. Magagawa ito sa pamamagitan ng pakikipag-ugnayan sa anumang sangay ng Sberbank o paggamit ng terminal (ATM). Ang isa pang opsyon para sa pagkonekta sa Mobile Bank ay tumawag sa contact center. Upang gawin ito, kakailanganin mong magbigay ng impormasyon ng kontrol, na mas mahusay na maghanda nang maaga.

Kapag gumagawa ng anumang operasyon sa pamamagitan ng Sberbank Online, ang gumagamit ay tumatanggap ng mga mensahe na may isang beses na mga password sa kanyang cell phone (isang password - isang mensahe). Ang pagpasok ay dapat isagawa sa pamamagitan ng card kung saan konektado ang Mobile Bank. Kung hindi, kakailanganin mong gamitin ang listahan ng isang beses na mga password mula sa resibo.

Kapag tinitingnan ang ipinadalang mensahe, kailangan mong tiyakin na ang mga detalye ng operasyon ay tama. Upang gawin ito, kailangan mong ihambing ang data na ipinasok sa Sberbank Online system na may impormasyon mula sa SMS.

Ang bawat isang beses na password ay ginagamit nang isang beses lamang at hindi na magagamit muli. Kung ang user ay humiling ng bagong isang beses na password, ang luma ay kakanselahin. Hindi na ito magagamit.

Ang mga mensahe na may isang beses na password ay palaging nagmumula sa maikling numero ng Sberbank na 900. Ang mga sumusunod na detalye ng transaksyon ay ipinahiwatig sa SMS:

• ang numero ng card o account kung saan ginagawa ang transaksyon;
• halaga ng transaksyon;
• password upang kumpirmahin ang operasyon.

Maaaring may iba pang data, depende sa uri ng operasyon na ginawa.

Pamamaraan para sa pagpasok ng isang beses na password

Batay sa mga setting ng system ng iyong personal na account, maaari kang payagang gumamit ng isa o higit pang mga uri ng kumpirmasyon ng transaksyon gamit ang isang beses na mga password. Kung magagamit ang parehong mga pamamaraan, bibigyan ng system ang tagapalabas ng isang pagpipilian bago kumpirmahin.

Kung pipiliin ng user ang kumpirmasyon mula sa isang tseke, lalabas ang check number at password sa tabi ng fill field.

Kung ang kumpirmasyon ay dumating sa telepono sa anyo ng SMS, kung gayon ang natanggap na password ay dapat na muling isulat sa linya na "Ipasok ang password ng SMS".

Pagkatapos maipasok ang password, ipo-prompt ka ng system na suriin muli ang lahat ng mga detalye. Kung ang lahat ng mga ito ay napunan nang tama, pagkatapos ay kailangan mong mag-click sa pindutang "Kumpirmahin".

Ano ang pinakamahusay na paraan upang makuha ito?

Kung alam ng isang tao kung paano gumamit ng isang beses na mga password sa sistema ng Online Sberbank, mayroon siyang isa pang tanong - alin sa mga magagamit na pamamaraan ang pinaka maginhawa at maaasahan?

Upang pahintulutan ang system gamit ang data ng card na konektado sa Mobile Bank, ang isang beses na password na natanggap sa mensahe ay kakailanganin upang makapasok sa anumang kaso. Ngunit ang mga operasyon ay maaaring kumpirmahin sa anumang paraan na maginhawa para sa gumagamit. Ang mga password sa SMS ay hindi palaging dumarating sa oras. Minsan sila ay ipinadala nang may pagkaantala. At bawat isa sa kanila ay may bisa lamang sa loob ng 5 minuto. Kung nabigo ang sistema o mobile na komunikasyon, pagkatapos ay mas mahusay na gamitin ang mga password mula sa tseke upang kumpirmahin.