Tänapäeval kasutavad inimesed sageli arvete, alimentide ja laenude tasumiseks internetipanka. Uued tehnoloogiad võimaldavad arvuti taga istuval inimesel avada konto või sissemakse, et kontrollida oma kaardil olevat rahajääki. Internetipanga kasutamine võimaldab säästa oluliselt aega ilma vahendustasu maksmisele enamasti raha kulutamata. Kõik, mida vajate, on juurdepääs oma isiklikule kontole süsteemis Internetis Sberbank.

Mitte igaüks ei tea, kuidas hankida ühekordsete paroolide loendit, et veelgi kinnitada, et see on pühendunud isiklik konto Sberbanki toimingud.

Vajadus saada isikuandmeid

Kontode ja kaartidega toimingute tegemiseks peab inimene esmalt saama püsiva parooli. Seda saab teha mitmel viisil, näiteks võtke ühendust pangakontoriga. Enamasti kasutavad inimesed andmete hankimiseks sularahaautomaate.

Kaardiomaniku soovil genereerimine toimub automaatselt. Andmeid saab hiljem muuta. Isikliku konto turvataseme tõstmiseks on kõige parem kasutada keerukaid kombinatsioone.

Miks vajate ühekordset parooli?

Sberbanki kliendi identiteedi täiendavaks kontrollimiseks on vaja ühekordset parooli. Selline identifitseerimissüsteem on vajalik:

1. teie isiklikul kontol loa alusel;
2. Internetipanga süsteemi kaudu oma kaartide, hoiuste, kontodega erinevate toimingute tegemisel.

Olemas järgmised tüübidühekordsed paroolid:

• sularahaautomaatide või terminalide abil prinditud tšekid (need sisaldavad korraga 20 erinevat parooli);
• paroolid, mis saadi Sberbanki sõnumiga otse konkreetse toimingu ajal telefoni.

Mõningaid toiminguid Sberbank Online'i süsteemis saab teha alles pärast selle kinnitamist SMS-parooliga.

Ükskõik milline rahalised tehingud Soovitatav on kasutada ühekordseid paroole. Kasutaja saab Sberbank Online'i keelata, kuid see ei päästa teda ühekordsete paroolide kasutamisest. Jah, töötades erinevaid programme pangas, on tehingute kinnitamiseks vaja nende sisendit.

Ühekordsete paroolide vastuvõtmine

Ühekordsete paroolide hankimiseks on mitu võimalust. Ei tohi unustada, et internetipangasüsteemis töötamiseks on vaja sisselogimist ja püsiparooli.
Sberbanki sularahaautomaadi kaudu
Klient peab olema Vene Föderatsiooni Sberbanki deebetkaardi (krediit ei tööta) omanik. See võib olla palk või maksekaart. Kui see on saadaval, peate selle endaga kaasa võtma ja minema lähimasse terminali või sularahaautomaati (selle hankimise protseduur on identne).

1. Kaart on vaja sisestada kaardilugejasse.
2. Sisestage süsteemi nõudmisel kinnituskood.
3. Ilmub peamenüü, milles peaksite klõpsama jaotist "Sberbank Interneti- ja mobiilipank". Kui sularahaautomaadile on installitud vana tarkvara, siis seda üksust seal ei ole. Sel juhul peate klõpsama nuppu "Interneti-teenus".
4. Avanevas menüüs klõpsake nuppu "Hangi ühekordsete paroolide loend". Pangaautomaat prindib välja paroolide nimekirja, neid on 20.

Loendis olevad paroolid on ajatud. Kui kasutaja prindib välja uued paroolid, siis vanad muutuvad kehtetuks – neid ei saa enam kasutada.

Et kliendil oleks paroolide kasutamine mugavam, on neil kõigil oma number. Internetis tehingute tegemisel nõuab internetipanga süsteem kasutajalt ühekordse parooli sisestamist kindla numbriga. Neid küsitakse juhuslikus järjekorras, nii et peate pöörama tähelepanu süsteemisõnumile, mis palub teil sisestada ühekordne parool.

Tähelepanu tuleb pöörata asjaolule, et maksed ja ülekanded, mis on kinnitatud tšeki ühekordse parooliga, ei tohi ületada 3000 rubla.

Kui kõik 20 kontrollitud parooli on möödas, peate hankima uued samamoodi nagu eelmised.

Kui paroolide kontroll läks kaduma või said selle andmed kellelegi teisele teatavaks, peate viivitamatult printima uued või blokeerima vanad. Selleks helistage kontaktkeskusesse ühel järgmistest numbritest –

• +7 (4 9 5 ) 5 0 0 - 5 5 5 0 ;
• +7 (8 0 0 ) 5 5 5 - 5 5 5 0 .

SMS-i teel
Seda ühekordsete paroolide hankimise meetodit saavad kasutada vaid need kliendid, kes on varem oma kaardiga mobiilipanga teenuse ühendanud. Seda saab teha, võttes ühendust mis tahes Sberbanki filiaaliga või kasutades terminali (ATM). Teine võimalus mobiilipanga ühendamiseks on helistada kontaktkeskusesse. Selleks peate esitama kontrolliteabe, mis on parem eelnevalt ette valmistada.

Sberbank Online'i kaudu mis tahes toimingu tegemisel saab kasutaja oma mobiiltelefoni ühekordsete paroolidega sõnumeid (üks parool - üks sõnum). Sissepääs peab toimuma selle kaardi kaudu, millega mobiilipank on ühendatud. Vastasel juhul peate kasutama kviitungil olevate ühekordsete paroolide loendit.

Saadetud sõnumit vaadates peate veenduma, et toimingu andmed on õiged. Selleks peate võrdlema Sberbank Online'i süsteemi sisestatud andmeid SMS-i teabega.

Iga ühekordset parooli kasutatakse ainult üks kord ja seda ei saa uuesti kasutada. Kui kasutaja on taotlenud uut ühekordset parooli, siis vana tühistatakse. Seda ei saa enam kasutada.

Ühekordsete paroolidega sõnumid tulevad alati Sberbanki lühinumbrilt 900. SMS-is on näidatud järgmised tehingu üksikasjad:

• kaardi või konto number, millega tehing tehakse;
• tehingu summa;
• parool toimingu kinnitamiseks.

Olenevalt tehtud toimingu tüübist võib olla ka muid andmeid.

Ühekordsete paroolide sisestamise protseduur

Teie isikliku konto süsteemiseadete põhjal võidakse teil lubada kasutada ühte või mitut tüüpi tehingukinnitust ühekordsete paroolidega. Kui saab kasutada mõlemat meetodit, annab süsteem enne kinnitamist sooritajale valiku.

Kui kasutaja valib tšeki hulgast kinnituse, kuvatakse täitevälja kõrvale tšeki number ja parool.

Kui telefonile saabub kinnitus SMS-i vormis, tuleks saadud parool ümber kirjutada juba reale "Sisesta SMS-i parool".

Pärast parooli sisestamist palub süsteem teil kõiki üksikasju uuesti kontrollida. Kui kõik need on õigesti täidetud, peate klõpsama nuppu "Kinnita".

Milline on parim viis selle hankimiseks?

Kui inimene teab, kuidas Online Sberbanki süsteemis ühekordseid paroole kasutada, on tal veel üks küsimus - milline saadaolevatest meetoditest on kõige mugavam ja usaldusväärsem?

Mobiilipangaga ühendatud kaardi andmetega süsteemis autoriseerimiseks on igal juhul sisestamiseks vaja sõnumis saadud ühekordset parooli. Kuid toiminguid saab kinnitada mis tahes kasutajale sobival viisil. SMS-paroolid ei jõua alati õigel ajal kohale. Mõnikord saadetakse need hilinemisega. Ja igaüks neist kehtib ainult 5 minutit. Kui süsteem või mobiilside ebaõnnestub, on parem kasutada kinnitamiseks kontrollis olevaid paroole.

Kasutajatunnuse ja ühekordse parooli hankimine sularahaautomaadi kaudu või kasutadesSMS.

Ühekordne parool sularahaautomaadi kaudu.

Kasutajatunnuse ja püsiva parooli saate ka Sberbanki iseteenindusseadme abil.Sisestame kaardi, sisestame PIN-koodi. Edasi valige loendist üksus "Ühenda Sberbank Online ja Mobiilipank"", minge uuele lehele. Siin peate klõpsama vahekaarti "Prindi ühekordsed paroolid" ja saama need kviitungi kujul.

Kui te pole veel süsteemiga ühendust loonud, siis valige esmalt punkt "Prindi ID ja parool" ja saage need andmed kviitungile. Pärast seda sisestage kaart uuesti, sisestage PIN-kood ja korrake kõiki ülalkirjeldatud samme.

Ühekordne parool SMS-i teel.

Turvalisuse huvides toimub süsteemi sisselogimisel või riskantsete toimingute tegemisel täiendav kasutaja autentimine ühekordse parooliga.

Mobiilipanga teenust kasutavad kliendid saavad ühekordse parooli. Pank saadab toimingu ajal kasutaja mobiilseadmesse ühekordse parooli. Kasutaja saab SMS-sõnumi, mis sisaldab selle toimingu parameetreid, mille jaoks parool on mõeldud. Pange tähele, et ühekordset parooli tuleb kasutada 5 minuti jooksul ja ainult teatud toimingu sooritamise kinnitamiseks.

Tähelepanu! Enne ühekordse parooli sisestamist on vaja kontrollida teostatava toimingu üksikasju SMS-sõnumis märgitud andmetega. Kui Sberbanki nimel võetakse vastu sõnumeid tehingu üksikasjadega, mida te ei sooritanud, ärge sisestage sobivatesse vormidesse ühekordset parooli ega avalda seda kellelegi, isegi kui teiega võetakse ühendust Sberbanki töötajate nimel. .

SMS-i näide maksemalli genereerimise toimingu puhul

54321 on ühekordne parool, mida kasutatakse malli moodustamise kinnitamiseks.

Ülekandetoimingu SMS-i näide

54321 — ülekannet kinnitav ühekordne parool.

Maksetehingu SMS-i näide

54321 — makset kinnitav ühekordne parool.

Toimingute kinnitamine ühekordse parooliga:

Toimingu kinnitamiseks saadetakse mobiilipangateenusega ühendatud telefonile teade toimingu parameetrite ja kinnitamiseks parooliga.

Toimingu lõpuleviimiseks peate sisestama parooli vastavale väljale ja klõpsama nuppu KINNITA.

Loodame, et teil õnnestus saada Sberbankist ühekordsed paroolid.

OTP (One Time Password) kasutamine on kauplemiskontodega töötamisel täiendav turvakiht. Iga kord, kui kasutaja kontoga ühenduse loob, peab ta sisestama kordumatu ühekordse parooli.

Toimib ka ühekordse parooligeneraatorina.

Ühekordsete paroolide kasutamise alustamiseks peate oma kauplemiskonto siduma parooligeneraatoriga, mis on iPhone'i või Androidi mobiiliplatvorm.

Luba OTP iPhone'is

Avage mobiiliplatvormi jaotis "Seaded" ja valige üksus OTP. Esmakordsel avamisel see jaotis Turvalisuse suurendamiseks on vaja neljakohalist parooli. Parooligeneraatorisse pääsemiseks tuleb parool sisestada iga kord.

Täiendavad käsud:

• Sünkrooni kellaaeg – sünkroonige mobiilseadme kellaaeg võrdlusserveriga. Täpsuse nõue tuleneb sellest, et ühekordne parool on seotud praeguse ajaintervalliga ning kauplemisplatvormi ja serveri poolel peab see aeg kattuma.

Lubage Android-seadmes OTP

Minge mobiilterminali jaotisesse "Kontod" ja vajutage . Selle jaotise esmakordsel avamisel peate turvalisuse suurendamiseks määrama neljakohalise parooli. Parooligeneraatorisse pääsemiseks tuleb parool sisestada iga kord.

Avanevas aknas valige "Lingi kontoga".

Järgmisena määrake selle serveri nimi, millel kauplemiskonto avatakse, konto number ja selle peamine parool. Valik Bind tuleks jätta sisselülitatuks. See tuleb välja lülitada, kui kavatsete määratud konto generaatorist lahti siduda ega kasuta enam ühekordseid paroole.

Pärast akna ülemises osas asuva nupu "Link" klõpsamist seotakse kauplemiskonto generaatoriga, ilmub vastav teade.

Samamoodi saate generaatoriga siduda piiramatu arvu kauplemiskontosid.

Ühekordne parool kuvatakse OTP jaotise ülaosas. Selle all kuvatakse sinisel ribal praeguse parooli ajaindikaator. Kui aeg on möödas, muutub parool kehtetuks ja luuakse uus.

Täiendavad käsud:

• Muuda parooli – muutke generaatorile juurdepääsu parooli.
• Sünkrooni kellaaeg – sünkroonige mobiilseadme kellaaeg võrdlusserveriga. Täpsuse nõue tuleneb sellest, et ühekordne parool on seotud kehtiva ajaintervalliga ning see aeg peab klienditerminali ja serveri poolel ühtima.

OTP kasutamine platvormil

Pärast generaatoriga sidumist, kui proovite ühendust luua kauplemisplatvorm kauplemiskontot kasutades küsitakse lisaks ühekordset parooli:

Nagu hiljutised uuringud näitavad, on üks tõsisemaid probleeme selle valdkonna ettevõtete jaoks infoturbe- volitamata juurdepääs arvutisüsteemidele. CSI/FBI 2005. aasta arvutikuritegevuse ja turvalisuse uuringu kohaselt teatas eelmisel aastal andmetega rikkumistest 55% ettevõtetest. Veelgi enam, samal aastal kaotasid ettevõtted volitamata juurdepääsu tõttu keskmiselt 303 000 dollarit ning 2004. aastaga võrreldes kasvasid kahjumid kuus korda.

Loomulikult on Venemaa ettevõtete kahjunumbrid täiesti erinevad, kuid see ei muuda probleemi ennast: volitamata juurdepääs põhjustab ettevõtetele tõsist kahju, olenemata sellest, kas juhtkond on sellest teadlik või mitte.

On selge, et selle ohu vastase kaitse usaldusväärsus sõltub eelkõige kasutaja autentimissüsteemi kvaliteedist. Tänapäeval pole lihtsalt mõtet rääkida infoturbest, ilma et see oleks seotud isikupärastatud juurdepääsuga ja jälgiks kõiki kasutaja toiminguid võrgus. Kui aga rääkida kasutaja autentimisest ettevõtte kohtvõrku kuuluvates arvutites, siis erilisi raskusi pole. Turg pakub palju erinevaid lahendusi, sealhulgas kiipkaarte ja elektroonilisi võtmeid, biomeetrilisi autentimisvahendeid ja isegi selliseid eksootilisi asju nagu graafilised paroolid.

Mõnevõrra erinev on olukord siis, kui kasutajal on vaja luua kaugühendus ettevõtte arvutivõrguga, näiteks Interneti kaudu. Sel juhul võib ta silmitsi seista mitmete probleemidega, mida me üksikasjalikumalt kaalume.

Kaugjuurdepääsu lõksud

Olles ebausaldusväärses keskkonnas (väljaspool kontorit), seisab kasutaja silmitsi vajadusega sisestada parool kellegi teise arvutist (näiteks Interneti-kohvikust). Paroolid salvestatakse vahemällu, nagu iga muu arvutisse sisestatud teave ja soovi korral saab keegi teine ​​neid kasutada oma isekatel eesmärkidel.

Tänapäeval on üsna levinud selline arvutipettuste liik nagu nuuskimine (inglise keelest sniff - sniff) - võrgupakettide pealtkuulamine ründaja poolt, et tuvastada teda huvitavat teavet. Seda tehnikat kasutades saab häkker kasutaja parooli "välja nuusutada" ja kasutada seda volitamata juurdepääsuks.

Lihtne paroolikaitse (eriti kaugjuurdepääsu puhul) on tõsiselt testitud uue põlvkonna nuhkvara poolt, mis siseneb vaikselt kasutaja arvutisse veebilehtede tavalise "lappimise" ajal. Viirust saab programmeerida filtreerima konkreetse arvuti teabevooge, et tuvastada paroolidena kasutatavaid tähekombinatsioone. "Spioon" saadab need kombinatsioonid oma loojale ning tal jääb üle vaid vajalik salasõna avalikustada.

Selge on see, et riistvaraline meetod turvalise võrgupääsu korraldamiseks on kordades töökindlam kui lihtsad paroolid, kuid kuidas saab taas kontorist eemal olles kiipkaarti või USB-võtit kasutada? Tõenäoliselt see ei õnnestu, kuna esimene seade vajab vähemalt lugejat, teine ​​USB-porti, mida saab blokeerida (Interneti-kohvik) või, mis veelgi hullem, ei pruugi see lihtsalt olla seadmes, kust kasutaja üritab pääseda juurde (PDA, mobiiltelefon, nutitelefon jne). Ütlematagi selge, et riistvara – kiipkaartide ja USB-võtmete – tööks on vaja vastavat tarkvara, mida vaevalt on võimalik samasse internetikohvikusse installida.

Vahepeal tuleb üsna sageli ette olukordi, kus on vaja infot kaugvastu võtta või saata. Võtame näiteks elektroonilised pangasüsteemid: on lihtne ette kujutada olukorda, kus kasutaja vajab konto kaughaldamiseks juurdepääsu turvalistele pangaressurssidele. Tänaseks on mõned pangad mõistnud vajadust USB-võtme abil riistvarapõhise autoriseerimise järele. Kuid mitmel ülalkirjeldatud põhjusel pole seda kaugeltki alati võimalik kasutada.

Paljude suurettevõtete äritegevuse spetsiifika kohustab neid sageli tagama juurdepääsu oma ressurssidele kolmandatest osapooltest kasutajatele - partneritele, klientidele, tarnijatele. Tänapäeval kogub Venemaal selline koostöö nagu allhange aktiivselt hoogu: allhankijafirmal võib tellimustööde tegemiseks vaja minna ligipääsu kliendi kaitstud ressurssidele.

Vajadus ühendada tugeva autentimisskeemiga ettevõtte võrku, kui käepärast on vaid pihuarvuti või nutitelefon, võib saada tõsiseks probleemiks, kui kasutaja viibib konverentsil, läbirääkimistel või muudel äriüritustel. Lihtsalt selleks mobiilirakendused, samuti korraldada juurdepääs vajalikule teabele nendest kohtadest, kuhu pole võimalik spetsiaalset tarkvara installida, ühekordse kasutamise kontseptsioon OTP paroolid- Ühekordne parool.

Ühekordne parool: sisestatud ja unustatud

Ühekordne parool on märksõna, mis kehtib ainult ühe autentimisprotsessi jaoks piiratud aja jooksul. Selline parool lahendab täielikult teabe võimaliku pealtkuulamise või banaalse piilumise probleemi. Isegi kui ründaja saab "ohvri" parooli kätte, on selle kasutamise võimalus ligipääsuks null.

Ühekordsete paroolide kontseptsiooni esimesed teostused põhinesid staatilisel märksõnade komplektil, st esmalt genereeriti paroolide loend (võtmed, koodisõnad jne), mida kasutajad said seejärel kasutada. Sarnast mehhanismi kasutati ka esimeses pangandussüsteemid konto kaughalduse võimalusega. Selle teenuse aktiveerimisel sai klient ümbriku oma paroolide loendiga. Seejärel kasutas ta iga kord süsteemi sisenedes järgmist märksõna. Nimekirja lõppu jõudnud klient läks panka uue järele. Selline otsus oli terve rida puudused, millest peamine on madal töökindlus. Sellegipoolest on ohtlik paroolide nimekirja pidevalt endaga kaasas kanda, seda on lihtne kaotada või sissetungijad võivad selle varastada. Ja siis pole nimekiri lõputu, aga mis siis, kui õigel ajal panka ei jõua?

Õnneks on tänaseks olukord muutunud kõige radikaalsemalt. Üldiselt võib öelda, et lääneriikides on ühekordsed paroolid infosüsteemides autentimiseks muutunud tavapäraseks. Kuid meie riigis jäi OTP-tehnoloogia kuni viimase ajani kättesaamatuks. Ja alles hiljuti hakkas ettevõtte juhtkond mõistma, kui palju suureneb kaugtöö tegemisel volitamata juurdepääsu oht. Nõudlus, nagu teate, loob pakkumise. Nüüd on kaugautentimiseks ühekordseid paroole kasutavad tooted hakanud järk-järgult Venemaa turul oma kohta sisse võtma.

IN kaasaegsed tehnoloogiad OTP autentimine kasutab dünaamilist märksõna genereerimist, kasutades tugevaid krüptoalgoritme. Teisisõnu saadakse autentimisandmed mõne algväärtuse krüpteerimisel kasutaja privaatvõtmega. See informatsioon nii kliendil kui serveril on see olemas. Seda ei edastata üle võrgu ja see pole pealtkuulamiseks saadaval. Algväärtusena kasutatakse autentimisprotsessi mõlemale poolele teadaolevat teavet ja iga kasutaja jaoks luuakse krüpteerimisvõti, kui see süsteemis lähtestatakse (joonis 1).

Väärib märkimist, et OTP-tehnoloogiate arendamise praeguses etapis on süsteeme, mis kasutavad nii sümmeetrilist kui ka asümmeetrilist krüptograafiat. Esimesel juhul peab mõlemal poolel olema salajane võti. Teises vajab salajast võtit ainult kasutaja ja autentimisserveris on see avalik.

Rakendamine

OTP-tehnoloogiad töötati välja osana avatud autentimise (OATH) tööstusalgatusest, mille VeriSign käivitas 2004. aastal. Selle algatuse põhiolemus on töötada välja standardspetsifikatsioon erinevate Interneti-teenuste tõeliselt tugevaks autentimiseks. Veelgi enam, me räägime kasutajaõiguste kahefaktorilisest määramisest, mille käigus viimane peab "näitama" kiipkaarti või USB-luba ja oma parooli. Seega võivad ühekordsed paroolid saada erinevates süsteemides kaugautentimise standardseteks vahenditeks.

Tänaseks on välja töötatud ja praktikas kasutusel mitmeid võimalusi ühekordse parooliga autentimise süsteemide juurutamiseks.

Päringu-vastuse meetod. Selle tööpõhimõte on järgmine: autentimisprotseduuri alguses saadab kasutaja oma sisselogimise serverisse. Vastuseks genereerib viimane mingi juhusliku stringi ja saadab selle tagasi. Kasutaja krüpteerib need andmed oma võtme abil ja tagastab need serverisse. Server "leiab" sel ajal oma mälust antud kasutaja salajase võtme ja kodeerib selle abiga algse stringi. Järgmisena võrreldakse mõlemat krüpteerimistulemust. Kui need ühtivad täielikult, loetakse autentimine õnnestunuks. Seda ühekordse paroolitehnoloogia rakendamise meetodit nimetatakse asünkroonseks, kuna autentimisprotsess ei sõltu kasutaja ajaloost serveriga ega muudest teguritest.

"Ainult vastuse" meetod. Sel juhul on autentimisalgoritm mõnevõrra lihtsam. Protsessi alguses genereerib kasutaja tarkvara või riistvara iseseisvalt algandmed, mis krüpteeritakse ja saadetakse võrdluseks serverisse. Sel juhul kasutatakse rea loomise protsessis eelmise päringu väärtust. See teave on ka serveril; kasutajanime teades leiab ta oma eelmise päringu väärtuse ja genereerib täpselt sama stringi, kasutades sama algoritmi. Krüpteerides selle kasutaja salavõtme abil (see on ka serveris salvestatud), saab server väärtuse, mis peab täielikult ühtima kasutaja saadetud andmetega.

Aja sünkroonimise meetod. Selles kasutatakse algreana spetsiaalse seadme või arvuti praeguseid taimeri näitu, millel inimene töötab. Sel juhul ei kasutata tavaliselt mitte täpset kellaaja näitu, vaid vooluintervalli etteantud piiridega (näiteks 30 s). Need andmed krüpteeritakse privaatvõtmega ja saadetakse koos kasutajanimega selgetekstis serverisse. Autentimistaotluse saamisel teostab server samu toiminguid: võtab oma taimerilt vastu praeguse aja ja krüpteerib selle. Pärast seda peab ta võrdlema vaid kahte väärtust: arvutatud ja kaugarvutist saadud.

Meetod "sünkroonimine sündmuse järgi". Põhimõtteliselt on see meetod peaaegu identne eelmisega, algstringina kasutatakse ainult edukate autentimisprotseduuride arvu, mis on tehtud enne praegust, mitte aega. Selle väärtuse arvutavad mõlemad pooled üksteisest eraldi.

Mõnes süsteemis rakendatakse nn segameetodeid, kus algväärtusena kasutatakse kahte tüüpi või isegi enamat teavet. Näiteks on süsteeme, mis võtavad arvesse nii autentimisloendureid kui ka sisseehitatud taimereid. See lähenemisviis väldib üksikute meetodite paljusid puudusi.

OTP-tehnoloogia haavatavused

Ühekordsete paroolide tehnoloogiat peetakse üsna usaldusväärseks. Objektiivsuse huvides märgime siiski, et sellel on ka puudusi, millele alluvad kõik süsteemid, mis rakendavad OTP põhimõtet puhtal kujul. Sellised haavatavused võib jagada kahte rühma. Esimene sisaldab potentsiaalselt ohtlikke "auke", mis on omased kõikidele rakendusmeetoditele. Kõige tõsisem neist on autentimisserveri võltsimise võimalus. Sel juhul saadab kasutaja oma andmed otse ründajale, kes saab neid kohe kasutada pärisserverile ligi pääsemiseks. "Request-response" meetodi puhul on ründealgoritm veidi keerulisem (häkkeri arvuti peab täitma "vahendaja" rolli, läbides serveri ja kliendi vahelise infovahetuse protsessi). Siiski väärib märkimist, et praktikas pole sellist rünnakut üldse lihtne läbi viia.

Teine haavatavus on omane ainult sünkroonmeetoditele ja on seotud asjaoluga, et serveris ja kasutaja tarkvaras või riistvaras on teabe desünkroniseerimise oht. Oletame, et mõnes süsteemis on lähteandmeteks sisemiste taimerite näidud ja need mingil põhjusel enam omavahel ei kattu. Sel juhul ebaõnnestuvad kõik kasutaja autentimiskatsed (tüüpi üks viga). Õnneks ei saa sellistel juhtudel tekkida teist tüüpi viga ("võõra" tunnistamine). Kirjeldatud olukorra esinemise tõenäosus on aga samuti äärmiselt väike.

Mõned rünnakud on rakendatavad ainult teatud viiside puhul, kuidas ühekordse parooli tehnoloogiat rakendada. Näiteks võtame uuesti taimeriga sünkroonimise meetodi. Nagu me juba ütlesime, ei võeta selles aega arvesse sekundi täpsusega, vaid mingi etteantud intervalli piires. Seda tehakse, võttes arvesse taimeri desünkroniseerimise võimalust, samuti andmeedastuse viivituste ilmnemist. Ja just seda hetke saab ründaja teoreetiliselt kasutada kaugsüsteemile volitamata juurdepääsu saamiseks. Alustuseks "kuulab" häkker võrguliiklust kasutajalt autentimisserverisse ning püüab kinni "ohvri" saadetud sisselogimise ja ühekordse parooli. Seejärel blokeerib ta kohe oma arvuti (koormab üle, katkestab ühenduse jne) ja saadab endalt autoriseerimisandmed. Ja kui ründajal õnnestub see nii kiiresti teha, et autentimisintervalli pole aega muuta, tuvastab server ta registreeritud kasutajana.

Selge on see, et sellise rünnaku jaoks peab ründaja suutma liiklust kuulata, samuti kliendi arvuti kiiresti blokeerida ja see pole lihtne ülesanne. Lihtsaim viis nende tingimuste täitmiseks on siis, kui rünnak on ette planeeritud ja kaugsüsteemiga ühenduse loomiseks kasutab "ohver" võõrast kohtvõrgust pärit arvutit. Sel juhul saab häkker eelnevalt ühe arvutiga "töötada", olles võimeline seda teisest masinast juhtima. Sellise rünnaku eest saate end kaitsta ainult "usaldusväärsete" töömasinate (näiteks oma sülearvuti või pihuarvuti) ja "sõltumatute" turvaliste (näiteks SSL-i kasutades) Interneti-juurdepääsu kanalite abil.

Rakenduse kvaliteet

Iga turvasüsteemi töökindlus sõltub suuresti selle rakendamise kvaliteedist. Kõikidel praktilistel lahendustel on omad miinused, mida ründajad saavad enda tarbeks kasutada ning need "augud" ei ole sageli otseselt seotud rakendatava tehnoloogiaga. See reegel kehtib täielikult ühekordsetel paroolidel põhinevate autentimissüsteemide puhul. Nagu eespool mainitud, põhinevad need krüptoalgoritmide kasutamisel. See seab selliste toodete arendajatele teatud kohustused – mis tahes algoritmi või näiteks juhuslike arvude generaatori kehv jõudlus võib ju info turvalisuse ohtu seada.

Ühekordseid parooligeneraatoreid rakendatakse kahel viisil: tarkvara ja riistvara. Esimene neist on loomulikult vähem usaldusväärne. Fakt on see, et kliendiutiliit peab salvestama kasutaja salajase võtme. Seda saab enam-vähem turvaliselt teha ainult võtme enda krüpteerimisel isikliku parooli alusel. Sellisel juhul tuleb arvestada, et kliendi utiliit peab olema installitud seadmesse (PDA, nutitelefon jne), millelt seanss parasjagu töötab. Seega selgub, et töötaja autentimine sõltub ühest paroolist, hoolimata sellest, et selle väljaselgitamiseks või äraarvamiseks on palju võimalusi. Ja see pole kaugeltki tarkvara ühekordse parooligeneraatori ainus haavatavus.

Erinevad seadmed OTP-tehnoloogiate riistvaraliseks juurutamiseks on võrreldamatult töökindlamad. Näiteks on seadmeid, mis näevad välja nagu kalkulaator (joonis 2): kui sisestate neisse serveri saadetud numbrite komplekti, genereerivad need manustatud salavõtme ("päring-vastus") alusel ühekordse parooli. "meetod). Selliste seadmete peamine haavatavus on seotud asjaoluga, et neid saab varastada või kaduda. Süsteemi saab sissetungijate eest kaitsta ainult siis, kui kasutate seadme mälu usaldusväärset kaitset salajase võtmega.

Riis. 2. RSA SecurID OTP seade.

Seda lähenemist rakendatakse kiipkaartides ja USB-märkides. Mällu pääsemiseks peab kasutaja sisestama oma PIN-koodi. Lisame, et sellised seadmed on kaitstud PIN-koodi valiku eest: kui sisestate selle kolm korda vale väärtus nad on blokeeritud. Võtmeteabe usaldusväärne salvestamine, võtmepaaride riistvaraline genereerimine ja krüptograafiliste toimingute teostamine usaldusväärses keskkonnas (kiipkaardi kiibil) ei võimalda ründajal salajast võtit välja võtta ja teha ühekordse parooli genereerimise seadmest duplikaati.

OTP rakendamise näide

Niisiis peetakse kiipkaarte ja USB-märke kõige usaldusväärsemateks ühekordseteks paroolide generaatoriteks, mis on kaitstud peaaegu kõigi juurutamise haavatavuste eest. Pealegi on viimased selgelt mugavamad: neid saab kasutada igas arvutis või sülearvutis ilma täiendavate kiipkaartide jaoks vajalike lugejateta. Lisaks on olemas OTP-tehnoloogiaga USB-dongle, mis võib töötada ilma USB-pordita. Sellise elektroonilise võtme näide on Aladdini eToken NG-OTP (joonis 3).

Väärib märkimist, et Aladdin (http://www.aladdin.com) osaleb aktiivselt ülalmainitud OATH algatuse edendamises ning siin käsitletav võti valiti VeriSign Unified Authentication lahenduse põhikomponendiks. Tõsi, selles süsteemis nimetatakse seda erinevalt: eToken VeriSign. Selle lahenduse põhieesmärk on tõsta usaldust interneti vahendusel sõlmitud tehingute vastu ning see põhineb tugeval kahefaktorilisel riistvaravõtmel põhineval autentimisel. Sellised eToken NG-OTP toote OEM-tarned kinnitavad selle kvaliteeti ja vastavust kõigile OATH-i spetsifikatsioonidele.

eToken-seeria seadmed on Venemaal üsna laialt levinud. Sellised juhtivad tootjad nagu Microsoft, Cisco, Oracle, Novell jt pakuvad oma toodetele tuge (eTokeni "teaberaamatus" on rohkem kui 200 infoturbe rakendustega rakendust).

Niisiis põhineb eToken NG-OTP teisel riistvaravõtmel, rea populaarseim mudel on eToken PRO. Tegemist on täisväärtusliku tokeniga, mis põhineb turvalisel mälukiipkaardi kiibil, mida saab kasutada võtmeinfo, kasutajaprofiilide ja muude konfidentsiaalsete andmete turvaliseks salvestamiseks, riistvaras krüptograafiliste arvutuste tegemiseks ning X.509 asümmeetriliste võtmete ja sertifikaatidega töötamiseks.

eToken NG-OTP donglis on lisaks ülalkirjeldatud võimalusi rakendavatele moodulitele ka riistvaraline ühekordse parooli generaator (joonis 4). See töötab vastavalt "sündmuse järgi sünkroonimise" meetodile. See on OTP-tehnoloogia kõige usaldusväärsem rakendus sünkroonsete valikute hulgas (väiksema desünkroniseerimisriskiga). eToken NG-OTP võtmes rakendatud ühekordse parooli genereerimise algoritm töötati välja OATH-i algatuse osana (see põhineb HMAC-tehnoloogial). Selle olemus seisneb HMAC-SHA-1 väärtuse arvutamises ja seejärel kuue numbri kärpimises (valimises) saadud 160-bitisest väärtusest. Need toimivad sama ühekordse paroolina.

eToken NG-OTP kombineeritud võtme huvitav omadus on võimalus kasutada ühekordseid paroole isegi ilma võtit arvutiga ühendamata. OTP genereerimise protsessi saab käivitada seadme korpusel asuva spetsiaalse nupu vajutamisega (joonis 5) ja selle tulemus kuvatakse sel juhul sisseehitatud LCD-ekraanil. Selline lähenemine võimaldab kasutada OTP-tehnoloogiat isegi seadmetes, millel pole USB-porte (nutitelefonid, pihuarvutid, mobiiltelefonid jne) ja arvutites, kus need on blokeeritud.

Kõige usaldusväärsem on vaadeldava võtme segatöörežiim. Selle kasutamiseks peab seade olema arvutiga ühendatud. Siin räägime kahefaktorilisest autentimisest, mida rakendatakse mitmel viisil. Ühel juhul on võrgule juurdepääsu saamiseks vaja selle sisestamiseks kasutada kasutaja enda parooli ja ka OTP väärtust. Teine valik nõuab ühekordset parooli ja OTP PIN-koodi (kuvatakse klahviekraanil).

Loomulikult võib eToken NG-OTP võti töötada standardse USB-märgina - kasutaja autentimiseks digitaalsete sertifikaatide ja PKI tehnoloogia abil, isiklike võtmete salvestamiseks jne. Seega saab kõnealust toodet kasutada paljudes projektides, mis on seotud vajadus turvalise kaugjuurdepääsu ja kahefaktorilise autentimise järele. Selliste hübriidvõtmete kasutamine ettevõtte mastaabis võimaldab kasutajatel oma võtmetega töötada nii kontoris kui ka väljaspool seda. Selline lähenemine vähendab infoturbesüsteemi loomise kulusid, vähendamata selle töökindlust.

Summeerida

Seega saab OTP ühekordsete paroolide kontseptsiooni koos kaasaegsete krüptograafiliste meetoditega kasutada usaldusväärsete kaugautentimissüsteemide rakendamiseks. Sellel tehnoloogial on mitmeid olulisi eeliseid. Esiteks on see usaldusväärsus. Tänapäeval ei ole avatud suhtluskanalite kaudu teabe edastamisel nii palju võimalusi tõeliselt "tugevaks" kasutaja autentimiseks. Vahepeal muutub see probleem üha tavalisemaks. Ja ühekordsed paroolid on selle üks paljutõotavamaid lahendusi.

Ühekordsete paroolide teine ​​eelis on "standardsete" krüptoalgoritmide kasutamine. See tähendab, et olemasolevad arendused sobivad hästi OTP-d kasutava autentimissüsteemi juurutamiseks. Tegelikult tõestab see selgelt sama eToken NG-OTP võtit, mis ühildub kodumaiste krüptoteenuste pakkujatega. Selliseid märke saab kasutada olemasolevates ettevõtte turvasüsteemides ilma neid ümber struktureerimata. Selle tulemusena saab ühekordsete paroolide tehnoloogiat rakendada suhteliselt madalate kuludega.

Ühekordsete paroolide teine ​​pluss on see, et kaitse on nõrgalt sõltuv inimfaktorist. Tõsi, see ei kehti kõigi selle rakenduste kohta. Nagu oleme öelnud, sõltub paljude ühekordsete parooliprogrammide töökindlus kasutatava PIN-koodi kvaliteedist. USB-märgistel põhinevad riistvarageneraatorid kasutavad täisväärtuslikku kahefaktorilist autentimist. Ja lõpuks, OTP kontseptsiooni neljas eelis on selle mugavus kasutajatele. Vajalikule teabele juurdepääsu saamine ühekordsete paroolide abil pole keerulisem kui selleks staatiliste märksõnade kasutamine. Eriti meeldiv on see, et mõnda vaadeldava tehnoloogia riistvaralist teostust saab kasutada igas seadmes, olenemata sellel olemasolevatest portidest ja installitud tarkvarast.

Ühekordne parool(ühekordne parool, OTP) on parool, mis kehtib ainult ühe seansi jaoks. Ühekordse parooli kehtivusaeg võib olla piiratud ka teatud ajavahemikuga. Ühekordse parooli eelis staatilise parooli ees on see, et parooli ei saa uuesti kasutada. Seega ei saa ründaja, kes on püüdnud kinni õnnestunud autentimisseansist andmeid, kasutada kopeeritud parooli kaitstud infosüsteemile juurdepääsu saamiseks. Ühekordsete paroolide kasutamine iseenesest ei kaitse autentimiseks kasutatava sidekanali aktiivsel sekkumisel põhinevate rünnete eest (näiteks man-in-the-middle rünnakute eest).

Ühekordsete paroolide loomiseks kasutatakse ühekordsete paroolide generaatorit, mis on saadaval ainult sellele kasutajale. Ühekordsed paroolid esitatakse tavaliselt numbrite komplektina ja neid kasutatakse süsteemidele juurdepääsuks kaugteenus. See, sisemine Infosüsteemid organisatsioonid.

Panganduses on kõige levinum viis ühekordse parooli andmiseks SMS-sõnum, mille pank saadab kliendile, kes kulutab internetipangasüsteemis.

Lisaks saab pank väljastada ühekordseid paroole nn kraapekaardil - plastkaart, millel paroolid on peidetud kustutatava kaane taha. Sel juhul kustutab klient, olles saanud internetipangasüsteemist korralduse sisestada ühekordne parool (konkreetse seerianumbriga), kustutab kaardil soovitud numbri kõrval oleva kaane ja sisestab koodi süsteemi.

Seda praktiseeritakse, kuid aja jooksul kaotab tšekis ühekordsete paroolide loendi väljastamise meetod oma tähtsuse. Sarnaselt kraapekaardil olevatele paroolidele on neil järjekorranumbrid ja need sisestatakse internetipanga süsteemi suunas.

Pettustega võideldes kasutavad pangad üha enam ühekordseid paroole mitte ainult finantstehingute kinnitamiseks, vaid ka esmaseks Interneti-pangandussüsteemi sisenemiseks.

Mõned Interneti-pangasüsteemid pakuvad ühekordsete koodide elektroonilist generaatorit.

OTP genereerimise algoritmid kasutavad tavaliselt juhuslikke numbreid. See on vajalik, sest vastasel juhul oleks eelnevate teadmiste põhjal lihtne ennustada järgnevaid paroole. Konkreetsed OTP-algoritmid on üksikasjalikult väga erinevad. Allpool on loetletud erinevad lähenemisviisid ühekordsete paroolide loomiseks.

1. Matemaatiliste algoritmide kasutamine uue parooli loomiseks eelmiste põhjal (paroolid moodustavad tegelikult ahela ja neid tuleb kasutada kindlas järjekorras).
2. Põhineb aja sünkroonimisel serveri ja parooli andva kliendi vahel (paroolid kehtivad lühikest aega).
3. Kasutades matemaatilist algoritmi, kus uus parool põhineb päringul (näiteks serveri poolt valitud juhuslikul numbril või sissetuleva sõnumi osadel) ja/või loenduril.