Все, что нужно знать об одноразовом пароле (OTP)

Одноразовые пароли уменьшают риск, связанный с паролями.

Забытые пароли. Одним из наиболее распространенных видов использования одноразовых паролей является случай, когда пользователь забыл пароль или его учетная запись была взломана. Пользователю может быть выдан одноразовый пароль для доступа к учетной записи, прежде чем ему будет предложено сбросить пароль.

Атаки повторного воспроизведения. При атаке повторного воспроизведения перехватываются учетные данные пользователя, включая его пароль. Если пароль статический, злоумышленник теперь будет иметь доступ к учетной записи этого пользователя. Однако если пароль одноразовый, в случае его перехвата хакером он уже будет недействительным, поскольку он уже один раз использовался для входа пользователя в учетную запись и не может быть использован повторно.

Многофакторная аутентификация. Одноразовые пароли могут добавлять дополнительный уровень аутентификации. При использовании токенов безопасности одноразовые пароли могут создаваться для пользователей в качестве дополнительной формы аутентификации, что повышает уровень безопасности и снижает риск взлома.

Одноразовый пароль на основе хеша (HOTP). Одноразовый пароль этого типа генерируется и отправляется пользователю с помощью алгоритма хеширования, который синхронизирует одноразовый пароль со счетчиком, который постепенно изменяется каждый раз, когда пользователь получает доступ.

Одноразовый пароль на основе времени (TOTP). Одноразовый пароль этого типа основан на времени, т. е. он действителен в течение определенного периода. Как правило, временные интервалы составляют 30–60 секунд. Если пользователь не ввел одноразовый пароль в течение указанного времени, он должен запросить новый.

Одноразовые пароли генерируются и отправляются пользователям безопасно с помощью маркеров безопасности.

Аппаратные токены. Смарт-карты, USB-ключи, системы бесключевого доступа, мобильные телефоны и токены Bluetooth способны генерировать одноразовые пароли. Аппаратные токены бывают подключенными, отключенными или полностью бесконтактными.

Программные токены. Push-уведомление по электронной почте, по SMS или в приложении является распространенной формой программных токенов для одноразовых паролей.

В чем разница между одноразовым паролем и двухфакторной аутентификацией?

Одноразовый пароль может использоваться как одна из форм двух- или многофакторной аутентификации, но он также может использоваться и как автономный механизм безопасности, где пользователю предоставляется одноразовый пароль для каждого входа. Таким образом, эти термины не должны использоваться как синонимы, поскольку одноразовый пароль является лишь одной из многих форм двух- или многофакторной аутентификации, а также может рассматриваться как самостоятельное решение для обеспечения безопасности.

Да. Одноразовые пароли добавляют дополнительный уровень безопасности к статическим паролям. Сами по себе пароли — это уязвимая форма проверки личности, на которую приходится 81 % нарушений безопасности. Добавление еще одного уровня аутентификации к паролям обеспечивает лучшую безопасность. Разумеется, можно полностью избавиться от паролей и перейти на беспарольный доступ.

Да. Entrust предлагает широкий спектр решений для аутентификации, включая одноразовые пароли.

Управление доступом и идентификационными данными (IAM) — это концепция политик и технологий безопасности, которая гарантирует получение соответствующими сущностями доступа к нужным ресурсам в нужное время.

Такой сущностью может быть человек или устройство. Ресурсами могут быть приложения, сети, инфраструктура и данные. Система IAM может применяться при работе с персоналом, потребителями и гражданами.

В основе системы IAM лежит определение и хранение доверенных цифровых идентификационных данных. С помощью IAM организации могут выполнять аутентификацию и авторизацию сущностей для предоставления безопасного доступа к нужным ресурсам. Кроме того, доверие поддерживается с течением времени за счет адаптивной аутентификации на основе рисков, которая при определенных условиях добавляет этап аутентификации типа step-up.