Одноразовые пароли: алгоритмы генерации и обзор основных видов токенов

Для чего нужны одноразовые пароли

В условиях постоянного увеличения доли онлайн-сегмента бизнеса все острее нужда в том, чтобы защита данных была особенно надежной. Если еще можно “пережить” взлом личной странички в соцсети (хотя и это крайне неприятно), то потери информации в бизнесе могут привести не только к утрате репутации и доходов, но и к закрытию компании.

Одним из самых уязвимых моментов в ИБ является надежная аутентификация пользователя, пытающегося получить доступ к своему аккаунту на том или ином веб-ресурсе.

Знакомые всем многоразовые обычные пароли при современном уровне хакерских угроз практически бесполезны. Они не в состоянии выдержать напор злоумышленников, оснащенных  такими “инструментами” как кейлоггеры, перехват данных, методы социальной инженерии.  На порядок более высокий уровень защиты может обеспечить применение одноразового пароля.

Как создаются одноразовые пароли

Наиболее удобный и безопасный генератор одноразовых паролей в настоящий момент — это токен. Он может быть как программным — в виде приложения для планшета или смартфона, так и аппаратным — в форме флешки, брелока, кредитной карты. Каждый token для дополнительной защиты может работать совместно с PIN-кодом, который необходимо использовать вместе с одноразовым паролем.

Одноразовый пароль генерируется обычно с использованием одного из трех алгоритмов:Алгоритмы генерации одноразовых паролей

  1. HOTP — по событию. Сервер и ОТР токен ведут учет количества процедур аутентификации, проходимых пользователем, а потом, используя в расчетах это число, генерируют пароль. Проблему может вызвать несовпадение в подсчетах между сервером и токеном. Такая ситуация возможна, например, если пользователь неоднократно нажимает кнопку устройства для генерации паролей и не использует этот пароль в дальнейшем.
  2. TOTP — по времени. При использовании этого алгоритма пароль создается, учитывая показания внутренних часов токена. ТОТР удобен тем, что время действия пароля ограничено, он не может быть создан заранее или использован после истечения срока.
  3. OCRA — запрос/ответ. Это очень надежный алгоритм, предполагающий, однако, несколько большее количество шагов, чем предыдущие. При его работе происходит взаимная аутентификация пользователя и сервера.  В отличие от других алгоритмов, он использует в качестве входных данных случайное значение, выданное сервером.

Еще раз стоит упомянуть, что при использовании TOTP и OCRA алгоритмов формируются временные пароли, которые значительно усложняют процесс взлома.

В токенах, предоставляемых компанией Протектимус, используются все три алгоритма. Если токены Protectimus ONE и Protectimus Slim генерируют пароли при помощи TOTP, то особо надежный токен Protectimus ULTRA пользуется для создания ОТР самым защищенным из алгоритмов — OCRA.

Угрозы и риски при использовании one time password

Как ни надежна двухфакторная авторизация с использованием одноразового пароля, существуют некоторые опасности, которых можно избежать, заранее позаботившись о мерах предосторожности.Одноразовые пароли

  • Пароль перехвачен. В ситуации, которую часто называют “человек посередине”, хакер, перехватив пароль от его имени авторизуется в системе. Чтобы этого избежать, можно включить в 2FA метод подписи данных (CWYS), используемый в токене Protectimus SMART, позволяющий учитывать при аутентификации не только пароль, но и некоторые другие параметры конкретной транзакции: место выхода в сеть, браузер, язык системы и т. п.
  • Утрата токена. Чтобы не проливать горьких слез в случае потери или кражи токена, стоит заранее предусмотреть обязательное применение PIN-кода при работе с устройством.
  • Попытка подбора PIN-кода. Решением в этом случае является настройка, при которой генератор токенов будет заблокирован при неоднократном вводе неверного PIN.
  • Взлом программного токена. Хакер может скопировать программу-токен и попытаться найти хранящийся там секретный ключ, используемый для генерирования ОТР. Здесь методом защиты станет использование PIN-кода как одного из значений при расчете одноразового пароля. Таким образом, даже зная часть секретного ключа, создать пароль не удастся, так как PIN-код не хранится в программном токене.
  • Злодей среди своих. Иногда может случиться печальная ситуация, когда злоумышленник и персона, которая занимается выпуском средств two factor autentication — одно и то же лицо. Такой человек может создать дубликаты программных средств аутентификации и с их помощью войти в систему под видом легального пользователя. Чтобы предотвратить подобное, в процессе активации программного токена должен принимать участие сам пользователь.

Следует признать, что двухфакторная аутентификация с использованием генерируемых токенами временных паролей — самый оптимальный на сегодня способ авторизации. При правильном применении он позволяет устранить риски, возникающие с использованием стандартной парольной аутентификации, а значит и надежно защитить данные компаний и отдельных пользователей.

Author: Olga Geo

Раньше была стопроцентным гуманитарием: преподавала фортепиано и синтезатор. Компьютер и интернет считала "мировым злом". Однако, познакомившись с ними поближе, кардинально изменила мнение. Освоив HTML, CSS и другие необходимые для работы навыки, сделала интернет основным местом приложения собственных усилий. Сегодня занимается разработкой сайтов и ведением собственного блога о программном обеспечении. Пишет статьи об IT-технологиях.

Share This Post On

Один комментарий

  1. Надежность любой системы безопасности в значительной степени зависит от качества ее реализации. У всех практических решений есть свои недостатки, которые злоумышленники могут использовать в своих целях, причем эти «дыры» зачастую не имеют прямого отношения к реализуемой технологии. В полной мере это правило применимо и к системам аутентификации на базе одноразовых паролей. Как уже говорилось выше, в их основе лежит использование криптографических алгоритмов. Это накладывает определенные обязательства на разработчиков таких продуктов — ведь некачественное исполнение какого-либо алгоритма или, например, генератора случайных чисел может поставить под угрозу безопасность информации.

    Ответить

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This