O parolă unică ( parolă unică în limba engleză , OTP ) este o parolă valabilă pentru o singură sesiune de autentificare . Valabilitatea unei parole unice poate fi, de asemenea, limitată la o anumită perioadă de timp.
Avantajul unei parole unice față de una statică este că parola nu poate fi reutilizată. Astfel, un atacator care a interceptat date dintr-o sesiune de autentificare reușită nu poate folosi parola copiată pentru a obține acces la sistemul de informații protejat. Utilizarea parolelor unice nu protejează în sine împotriva atacurilor bazate pe interferența activă cu canalul de comunicare utilizat pentru autentificare (de exemplu, împotriva atacurilor de tip man-in-the-middle ).
O persoană nu își poate aminti parolele unice. Prin urmare, sunt necesare tehnologii suplimentare pentru funcționarea lor corectă.
Algoritmii de generare OTP folosesc de obicei numere aleatorii. Acest lucru este necesar deoarece altfel ar fi ușor să preziceți parolele ulterioare pe baza cunoștințelor celor anterioare. Algoritmii specifici OTP variază foarte mult în detaliu. Mai jos sunt enumerate diferite abordări pentru crearea parolelor unice.
Există, de asemenea, diferite moduri de a spune utilizatorului următoarea parolă. Unele sisteme folosesc jetoane electronice speciale pe care utilizatorul le poartă cu el, care creează parole unice și apoi le afișează pe un mic ecran. Alte sisteme constau în programe pe care utilizatorul le rulează de pe un telefon mobil. Încă alte sisteme generează parole unice pe server și apoi le trimit utilizatorului folosind canale străine, cum ar fi mesajele SMS . În cele din urmă, unele sisteme au parole unice imprimate pe o bucată de hârtie sau pe un card răzuibil , pe care utilizatorul trebuie să le poarte cu ele.
O abordare, dezvoltată de Leslie Lamport , folosește o funcție unidirecțională (să o numim f ). Sistemul de parole unice pornește de la un seed s , apoi generează parole
f ( s ), f ( f ( s )), f ( f ( f ( s ))), …de câte ori este necesar. Dacă se caută o serie infinită de parole, se poate alege o nouă sămânță după ce seria pentru s este epuizată. Fiecare parolă este distribuită în ordine inversă, începând cu f ( f (… f ( s ))…), terminând cu f ( s ).
Dacă un atacator reușește să obțină o parolă unică, el poate obține acces doar pentru o perioadă de timp sau o singură conexiune, dar acest lucru devine inutil când această perioadă se termină. Pentru a obține următoarea parolă din lanț din cele anterioare, trebuie să găsiți o modalitate de a calcula funcția inversă f −1 . Deoarece f a fost ales să fie unilateral, acest lucru nu se poate face. Dacă f este o funcție hash criptografică care este utilizată în mod obișnuit, atunci din câte se știe, aceasta ar fi o sarcină imposibil de realizat din punct de vedere computațional.
Parolele unice sincronizate în timp sunt de obicei asociate cu simboluri hardware fizice (de exemplu, fiecărui utilizator i se oferă un simbol personal care generează o parolă unică). Un ceas precis este încorporat în token, care este sincronizat cu ceasul de pe server. În aceste sisteme OTP, timpul este o parte importantă a algoritmului de generare a parolei, deoarece generarea unei noi parole se bazează pe ora curentă, și nu pe parola sau cheia secretă anterioară.
Recent, a devenit posibilă încorporarea componentelor electronice asociate cu jetoane permanente de ceas, cum ar fi cele de la ActivIdentity , InCard , RSA , SafeNet , Vasco , VeriSign și Protectimus , într- un format de card de credit . Cu toate acestea, deoarece grosimea cardului (de la 0,79 mm la 0,84 mm) nu permite utilizarea celulelor de baterie tradiționale, este necesar să se utilizeze baterii speciale pe bază de polimeri, care au o durată de viață mult mai mare decât mini-bateriile obișnuite. În plus, componentele semiconductoare de putere extrem de scăzută ar trebui utilizate pentru a economisi energie în timpul standby și/sau utilizarea produsului. Două companii sunt lider în dispozitivele OTP subțiri: Identita și NagraID .
Telefoanele mobile și PDA-urile pot fi, de asemenea, folosite pentru a genera parole unice, sincronizate în timp. Această abordare poate fi o alternativă mai economică, deoarece majoritatea utilizatorilor de internet au deja telefoane mobile. De asemenea, poate fi mai convenabil deoarece utilizatorul nu va trebui să poarte un token separat pentru fiecare conexiune sigură atunci când are nevoie de acces.
Utilizarea parolelor unice cu provocare necesită ca utilizatorul să furnizeze solicitări sincronizate în timp pentru ca autentificarea să aibă loc. Acest lucru se poate face prin injectarea unei valori în simbolul în sine. Pentru a evita duplicarea, de obicei este inclus un contor suplimentar, astfel încât dacă se primesc două solicitări identice, vor avea în continuare parole diferite de unică folosință. Cu toate acestea, calculele de obicei nu includ parola anterioară unică, deoarece aceasta va determina sincronizarea sarcinilor. EMV- urile încep să folosească astfel de sisteme (așa-numitul „Program de autentificare cu cip”) pentru cardurile de credit în Europa.
O tehnologie comună folosită pentru a furniza parole unice este SMS -ul . Întrucât SMS-ul este un canal de comunicare omniprezent care se găsește în toate telefoanele și este utilizat de un număr mare de clienți, mesajele SMS au cel mai mare potențial pentru toți consumatorii cu costuri reduse.
Jetoanele, cardurile inteligente și alte metode tradiționale de autentificare sunt mult mai costisitoare de implementat și utilizat și adesea întâmpină rezistență din partea consumatorilor. Ele sunt, de asemenea, mult mai vulnerabile la atacurile man-in-the-middle , în care phishingii fură parole unice prin înșelăciune sau chiar pentru că parolele unice sunt afișate pe ecranul tokenului. De asemenea, jetoanele pot fi pierdute, iar integrarea parolelor unice în telefoanele mobile poate fi mai sigură și mai ușoară, deoarece utilizatorii nu trebuie să poarte cu ei dispozitive portabile suplimentare.
În același timp, parolele unice prin SMS pot fi mai puțin sigure, deoarece operatorii de telefonie mobilă devin parte a lanțului de încredere. În cazul unei funcții de roaming permise, mai mult de un operator de telefonie mobilă trebuie să fie de încredere (în unele cazuri, toate organizațiile care au acces la sistemul de semnalizare SS7 ).
Conform recomandărilor NIST 2016, SMS-urile nu ar trebui folosite în sistemele noi de autentificare din cauza riscului ca acestea să fie interceptate și redirecționate [1] [2] .
În comparație cu o implementare hardware a unui token care necesită ca utilizatorul să poarte un dispozitiv token, un token pe un telefon mobil reduce semnificativ costurile și oferă un nivel de confort fără precedent. Această soluție reduce, de asemenea, cerințele logistice, deoarece nu este nevoie să emiti un dispozitiv separat pentru fiecare utilizator. Token-urile mobile, cum ar fi FiveBarGate, FireID sau PROTECTIMUS SMART, acceptă în plus un număr de jetoane în timpul instalării unei singure aplicații, permițând utilizatorului să se autentifice la mai multe resurse de pe un singur dispozitiv. Această opțiune oferă, de asemenea, aplicații specifice pentru diferite modele de telefon ale utilizatorului. Tokenurile din telefoanele mobile sunt, de asemenea, semnificativ mai sigure decât SMS OTP, deoarece mesajele SMS sunt trimise prin rețeaua GSM în format text interceptabil.
În ceea ce privește costurile, cele mai ieftine soluții sunt distribuirea de parole unice pe hârtie, un card răzuibil sau un generator de parole unice pe un telefon mobil. Acest lucru se datorează faptului că aceste sisteme elimină costurile asociate cu (re)emiterea de jetoane electronice și costul mesajelor SMS.
Pentru sistemele care se bazează pe jetoane electronice, sistemele care nu sunt sincronizate în timp trebuie să rezolve problema atunci când serverul și jetonul nu se sincronizează. Acest lucru are ca rezultat costuri suplimentare de dezvoltare. Pe de altă parte, vă permit să evitați cheltuirea orelor în jetoane electronice (și corectarea valorilor acestora ținând cont de deriva în timp).
Parolele unice sunt, de asemenea, vulnerabile la „pescuit” ( phishing ). La sfârșitul anului 2005, utilizatorii Bank of Sweden au fost păcăliți să-și folosească parolele unice [3] . Chiar și parolele sincronizate în timp sunt vulnerabile la phishing dacă un atacator poate folosi parola suficient de repede. Acest lucru a fost observat în 2006 într-un atac asupra utilizatorilor Citibank din SUA [4] .
Deși parolele unice sunt mai sigure decât parolele obișnuite, utilizarea sistemelor OTP este încă vulnerabilă la atacurile de tip man-in-the-middle . Prin urmare, parolele unice nu ar trebui să fie partajate cu o terță parte. Dacă parola unică este sincronizată în timp, practic, nu afectează gradul de vulnerabilitate. Parolele unice bazate pe provocări sunt, de asemenea, vulnerabile, deși un atac de succes necesită puțin mai multă acțiune din partea atacatorului decât alte tipuri de OTP.
Numeroase tehnologii OTP au fost brevetate. Acest lucru face standardizarea în acest domeniu și mai dificilă, cu cât fiecare companie încearcă să-și impulsioneze propria tehnologie. Cu toate acestea, există standarde, cum ar fi RFC 1760 ( S/Key ), RFC 2289 (OTP), RFC 4226 ( HOTP ) și RFC 6238 ( TOTP ).
În unele țări, parolele unice sunt folosite pentru utilizarea de la distanță a băncilor. În unele dintre aceste sisteme, banca trimite utilizatorului o listă numerotată de parole unice tipărite pe hârtie. Pentru fiecare tranzacție de la distanță, utilizatorul trebuie să introducă parola unică corespunzătoare din această listă. În Germania, aceste parole sunt de obicei denumite cod TAN (de la „ numere de autentificare a tranzacțiilor ”). Unele bănci trimit coduri TAN către utilizator prin SMS, caz în care se numesc coduri mTAN (pentru „TAN-uri mobile”).
Cel mai adesea, parolele unice sunt simbolul autentificării cu doi factori . Unele sisteme Single Sign On Technologies [5] folosesc parole unice. Tehnologia OTP este folosită și în jetoanele de securitate .
Furnizori de soluții cu parolă unică: