Ühekordne parool. Ühekordne parool

Hiljutised uuringud näitavad, et üks tõsisemaid probleeme valdkonna ettevõtete jaoks infoturbe- volitamata juurdepääs arvutisüsteemidele. CSI/FBI 2005. aasta arvutikuritegevuse ja turvalisuse uuringu kohaselt teatas eelmisel aastal 55% ettevõtetest juhtumitest, mis hõlmasid volitamata juurdepääsu andmetele. Veelgi enam, samal aastal kaotasid ettevõtted volitamata juurdepääsu tõttu keskmiselt 303 tuhat dollarit ning kahjum kasvas 2004. aastaga võrreldes kuus korda.

Loomulikult on Venemaa ettevõtete kahjunumbrid täiesti erinevad, kuid see ei muuda probleemi ennast olematuks: volitamata juurdepääs põhjustab ettevõtetele tõsist kahju, olenemata sellest, kas juhtkond on sellest teadlik või mitte.

On selge, et selle ohu vastase kaitse usaldusväärsus sõltub eelkõige kasutaja autentimissüsteemi kvaliteedist. Tänapäeval pole lihtsalt mõtet rääkida infoturbest ilma isikupärastatud juurdepääsule viitamata ja kõigi kasutajate toimingute jälgimise võrgus. Kui aga rääkida kasutajate autentimisest ettevõtte kohtvõrku kuuluvates arvutites, siis erilisi raskusi pole. Turg pakub palju erinevaid lahendusi, sealhulgas kiipkaarte ja elektroonilisi võtmeid, biomeetrilisi autentimisvahendeid ja isegi selliseid eksootilisi asju nagu graafilised paroolid.

Mõnevõrra teisiti on asjad siis, kui kasutajal on vaja luua kaugühendus ettevõtte arvutivõrguga, näiteks Interneti kaudu. Sel juhul võib tal tekkida mitmeid probleeme, mida me käsitleme üksikasjalikumalt.

Kaugjuurdepääsu lõksud

Olles ebausaldusväärses keskkonnas (väljaspool kontorit), seisab kasutaja silmitsi vajadusega sisestada parool kellegi teise arvutist (näiteks Interneti-kohvikust). Paroolid salvestatakse vahemällu, nagu iga muu arvutisse sisestatud teave ja soovi korral saab neid kasutada keegi teine ​​oma isekatel eesmärkidel.

Tänapäeval on üsna levinud arvutipettuste tüüp, mida nimetatakse nuusutamiseks (inglise keelest sniff - sniff) - võrgupakettide pealtkuulamine ründaja poolt, et tuvastada teda huvitavat teavet. Seda tehnikat kasutades saab häkker kasutaja parooli välja nuusutada ja kasutada seda volitamata juurdepääsuks.

Lihtsat paroolikaitset (eriti kaugjuurdepääsu puhul) testib tõsiselt uue põlvkonna nuhkvaraviirused, mis sisenevad vaikselt kasutaja arvutisse veebilehtede tavapärase "pööramise" ajal. Viirust saab programmeerida filtreerima konkreetse arvuti teabevooge, et tuvastada paroolidena kasutatavaid tähekombinatsioone. “Spioon” saadab need kombinatsioonid oma loojale ja tal jääb üle vaid vajalik parool tuvastada.

Selge on see, et riistvaraline meetod turvalise võrgupääsu korraldamiseks on kordades töökindlam kui lihtsad paroolid, aga kuidas kasutada kontorist eemal viibides kiipkaarti või USB-võtit? Tõenäoliselt see ebaõnnestub, kuna esimene seade nõuab vähemalt lugejat, teine ​​- USB-porti, mis võib olla blokeeritud (Interneti-kohvik) või, mis veelgi hullem, ei pruugi see lihtsalt olla seadmes, millest kasutaja proovib. juurdepääsu saamiseks (PDA, mobiiltelefon, nutitelefon jne). Ütlematagi selge, et riistvara - kiipkaardid ja USB-võtmed - töötamiseks on vaja vastavat tarkvara, mida on vaevalt võimalik samasse internetikohvikusse installida.

Vahepeal tuleb üsna sageli ette olukordi, kus on vaja infot kaugvastu võtta või saata. Võtame näiteks elektroonilised pangasüsteemid: on lihtne ette kujutada olukorda, kus kasutajal oleks konto kaughaldamiseks vaja ligipääsu turvalistele pangaressurssidele. Tänaseks on mõned pangad mõistnud vajadust riistvara autoriseerimiseks USB-võtme abil. Kuid mitmel ülalkirjeldatud põhjusel ei ole seda alati võimalik kasutada.

Paljude suurettevõtete äritegevuse eripära kohustab neid sageli tagama juurdepääsu oma ressurssidele kolmandatest osapooltest kasutajatele - partneritele, klientidele, tarnijatele. Tänapäeval kogub Venemaal aktiivselt hoogu selline koostöö nagu allhange: allhankijafirmal võib tellimustööde tegemiseks vaja minna ligipääsu kliendi kaitstud ressurssidele.

Vajadus luua ühendus ettevõtte võrguga usaldusväärse autentimisskeemi abil, kui käepärast on vaid pihuarvuti või nutitelefon, võib saada tõsiseks probleemiks, kui kasutaja viibib konverentsil, läbirääkimistel või muudel äriüritustel. Lihtsalt selleks mobiilirakendused, samuti korraldada juurdepääsu vajalikule teabele kohtadest, kus pole võimalik spetsiaalset tarkvara installida, töötati välja ühekordsete paroolide kontseptsioon OTP - One-Time Password.

Ühekordne parool: sisestatud ja unustatud

Ühekordne parool on märksõna, mis kehtib ainult ühe autentimisprotsessi jaoks piiratud aja jooksul. Selline parool lahendab täielikult teabe võimaliku pealtkuulamise või banaalse nuhkimise probleemi. Isegi kui ründajal õnnestub hankida “ohvri” parool, on selle kasutamise võimalus ligipääsuks null.

Ühekordse parooli kontseptsiooni esimesed teostused põhinesid staatilisel märksõnade komplektil, st esmalt genereeriti paroolide loend (võtmed, koodisõnad jne), mida kasutajad said seejärel kasutada. Sarnast mehhanismi kasutati ka esimeses pangandussüsteemid võimalusega oma kontot eemalt hallata. Selle teenuse aktiveerimisel sai klient ümbriku oma paroolide loendiga. Seejärel kasutas ta iga kord süsteemi sisenedes järgmist märksõna. Nimekirja lõppu jõudnud klient läks panka uut hankima. See otsus oli terve rida puudused, millest peamine on madal töökindlus. Siiski on paroolide loendi pidev kaasas kandmine ohtlik; ründajad võivad selle kergesti kaotada või varastada. Ja siis, nimekiri pole lõputu, aga mis siis, kui õigel ajal panka ei jõua?

Tänaseks on olukord õnneks kõige drastilisemalt muutunud. Üldiselt võib öelda, et lääneriikides on ühekordsed paroolid infosüsteemides autentimiseks muutunud tavapäraseks. Kuid meie riigis jäi OTP-tehnoloogia kuni viimase ajani kättesaamatuks. Ja alles hiljuti on ettevõtte juhtkond hakanud aru saama, kui palju suureneb kaugtöö tegemisel volitamata juurdepääsu oht. Nõudlus, nagu me teame, loob pakkumise. Nüüd on kaugautentimiseks ühekordseid paroole kasutavad tooted hakanud järk-järgult Venemaa turul oma kohta sisse võtma.

IN kaasaegsed tehnoloogiad OTP autentimine kasutab dünaamilist märksõna genereerimist, kasutades tugevaid krüptoalgoritme. Teisisõnu on autentimisandmed mingi algväärtuse krüpteerimise tulemus, kasutades kasutaja salavõtit. See informatsioon Nii kliendil kui serveril on see olemas. Seda ei edastata üle võrgu ja seda ei saa pealt kuulata. Algväärtusena kasutatakse autentimisprotsessi mõlemale poolele teadaolevat teavet ja iga kasutaja jaoks luuakse krüpteerimisvõti, kui ta süsteemis lähtestatakse (joonis 1).

Väärib märkimist, et praeguses OTP-tehnoloogiate arendamise etapis on süsteeme, mis kasutavad nii sümmeetrilist kui ka asümmeetrilist krüptograafiat. Esimesel juhul peab mõlemal poolel olema salajane võti. Teises vajab salajast võtit ainult kasutaja, samas kui autentimisserveris on see avalik.

Rakendamine

OTP-tehnoloogiad töötati välja osana avatud autentimise (OATH) tööstusalgatusest, mille VeriSign käivitas 2004. aastal. Selle algatuse põhiolemus on töötada välja standardspetsifikatsioon erinevate Interneti-teenuste tõeliselt tugevaks autentimiseks. Veelgi enam, me räägime kasutajaõiguste kahefaktorilisest määramisest, mille käigus viimane peab "esitama" kiipkaardi või USB-märgi ja oma parooli. Seega võivad ühekordsetest paroolidest saada erinevates süsteemides standardne kaugautentimise vahend.

Tänaseks on välja töötatud ja praktikas kasutusel mitmeid võimalusi ühekordse parooliga autentimise süsteemide juurutamiseks.

Päringu-vastuse meetod. Selle tööpõhimõte on järgmine: autentimisprotseduuri alguses saadab kasutaja oma sisselogimise serverisse. Vastuseks sellele genereerib viimane juhusliku stringi ja saadab selle tagasi. Kasutaja krüpteerib need andmed oma võtme abil ja tagastab need serverisse. Sel ajal "leiab" server oma mälust selle kasutaja salajase võtme ja kodeerib selle abiga algse stringi. Järgmine on mõlema krüpteerimistulemuste võrdlus. Kui need ühtivad täielikult, loetakse autentimine õnnestunuks. Seda ühekordse paroolitehnoloogia rakendamise meetodit nimetatakse asünkroonseks, kuna autentimisprotsess ei sõltu kasutaja ajaloost serveriga ega muudest teguritest.

"Ainult vastuse" meetod. Sel juhul on autentimisalgoritm mõnevõrra lihtsam. Protsessi alguses genereerib kasutaja tarkvara või riistvara iseseisvalt algandmed, mis krüpteeritakse ja saadetakse võrdluseks serverisse. Sel juhul kasutatakse rea loomise protsessis eelmise päringu väärtust. See teave on ka serveril; Teades kasutaja nime, leiab see tema eelmise päringu väärtuse ja genereerib täpselt sama stringi, kasutades sama algoritmi. Olles selle krüpteerinud kasutaja salajase võtmega (see on ka serveris salvestatud), saab server väärtuse, mis peab täielikult ühtima kasutaja saadetud andmetega.

Aja sünkroonimise meetod. See kasutab algreana spetsiaalse seadme või arvuti, millel inimene töötab, taimeri näitu. Sel juhul pole tavaliselt tegemist täpse aja näitamisega, vaid jooksva intervalliga, mille piirid on eelnevalt paika pandud (näiteks 30 s). Need andmed krüpteeritakse salajase võtmega ja saadetakse selge tekstina serverisse koos kasutajanimega. Autentimistaotluse saamisel teostab server samu toiminguid: võtab oma taimerilt vastu praeguse aja ja krüpteerib selle. Pärast seda ei pea ta tegema muud, kui võrdlema kahte väärtust: arvutatud ja kaugarvutist saadud väärtust.

"Sündmuste sünkroonimise" meetod. Põhimõtteliselt on see meetod peaaegu identne eelmisega, ainult et see ei kasuta algstringina aega, vaid enne praegust sooritatud edukate autentimisprotseduuride arvu. Selle väärtuse arvutavad mõlemad pooled üksteisest eraldi.

Mõned süsteemid rakendavad nn segameetodeid, kus algväärtusena kasutatakse kahte või enamat tüüpi teavet. Näiteks on süsteeme, mis võtavad arvesse nii autentimisloendureid kui ka sisseehitatud taimereid. See lähenemine väldib paljusid üksikute meetodite puudusi.

OTP-tehnoloogiate haavatavused

Ühekordse parooli tehnoloogiat peetakse üsna usaldusväärseks. Kuid objektiivsuse huvides märgime, et sellel on ka puudusi, millele alluvad kõik süsteemid, mis rakendavad OTP põhimõtet puhtal kujul. Sellised haavatavused võib jagada kahte rühma. Esimene sisaldab potentsiaalselt ohtlikke "auke", mis on omased kõigile rakendusmeetoditele. Kõige tõsisem neist on autentimisserveri võltsimise võimalus. Sel juhul saadab kasutaja oma andmed otse ründajale, kes saab neid kohe kasutada pärisserverile juurdepääsuks. "Request-response" meetodi puhul muutub ründealgoritm veidi keerulisemaks (häkkeri arvuti peab täitma "vahendaja" rolli, läbides serveri ja kliendi vahelise infovahetuse protsessi). Siiski väärib märkimist, et praktikas pole sellist rünnakut üldse lihtne läbi viia.

Teine haavatavus on omane ainult sünkroonmeetoditele ja on seotud asjaoluga, et serveris ja kasutaja tarkvaras või riistvaras on teabe desünkroniseerimise oht. Ütleme nii, et mõnes süsteemis on lähteandmeteks sisemiste taimerite näidud ja need millegipärast enam omavahel ei kattu. Sel juhul ebaõnnestuvad kõik kasutaja autentimiskatsed (1. tüüpi viga). Õnneks ei saa sellistel juhtudel tekkida teist tüüpi viga (“tulnuka” lubamine). Kirjeldatud olukorra esinemise tõenäosus on aga samuti äärmiselt väike.

Mõned rünnakud kehtivad ainult ühekordse paroolitehnoloogia teatud rakenduste puhul. Näiteks võtame uuesti taimeriga sünkroonimise meetodi. Nagu me juba ütlesime, ei võeta aega arvesse mitte sekundi täpsusega, vaid teatud etteantud intervalli jooksul. Seda tehakse, võttes arvesse taimerite desünkroniseerimise võimalust, samuti andmeedastuse viivitusi. Ja just seda hetke saab ründaja teoreetiliselt ära kasutada, et saada volitamata juurdepääs kaugsüsteemile. Alustuseks "kuulab" häkker võrguliiklust kasutajalt autentimisserverisse ning püüab kinni "ohvri" saadetud sisselogimise ja ühekordse parooli. Seejärel blokeerib ta kohe oma arvuti (koormab üle, katkestab ühenduse jne) ja saadab endalt autoriseerimisandmed. Ja kui ründajal õnnestub see nii kiiresti teha, et autentimisintervalli pole aega muuta, tunneb server ta registreeritud kasutajana ära.

On selge, et sellise rünnaku jaoks peab ründaja suutma liiklust kuulata, samuti kiiresti kliendi arvuti blokeerida ja see pole lihtne ülesanne. Neid tingimusi on kõige lihtsam järgida, kui rünnak on ette planeeritud ja "ohver" kasutab kaugsüsteemiga ühenduse loomiseks kellegi teise kohalikust võrgust pärit arvutit. Sel juhul saab häkker eelnevalt ühe arvutiga "töötada", saades võimaluse seda teisest masinast juhtida. Sellise rünnaku eest saate end kaitsta ainult siis, kui kasutate Internetile juurdepääsuks "usaldusväärseid" töömasinaid (näiteks oma sülearvuti või pihuarvuti) ja "sõltumatuid" turvalisi (näiteks SSL-i) kanaleid.

Rakenduse kvaliteet

Iga turvasüsteemi töökindlus sõltub suuresti selle rakendamise kvaliteedist. Kõikidel praktilistel lahendustel on omad puudused, mida ründajad saavad oma eesmärkidel ära kasutada ning need “augud” ei ole sageli otseselt seotud rakendatava tehnoloogiaga. See reegel kehtib täielikult ühekordsetel paroolidel põhinevate autentimissüsteemide puhul. Nagu eespool mainitud, põhinevad need krüptoalgoritmide kasutamisel. See paneb selliste toodete arendajatele teatud kohustused – võib ju mis tahes algoritmi ebakvaliteetne täitmine või näiteks juhuslike arvude generaator ohustada info turvalisust.

Ühekordseid parooligeneraatoreid rakendatakse kahel viisil: tarkvara ja riistvara. Esimene neist on loomulikult vähem usaldusväärne. Fakt on see, et kliendiutiliit peab salvestama kasutaja salajase võtme. Seda saab enam-vähem turvaliselt teha ainult võtme enda krüpteerimisel isikliku parooli alusel. Arvestada tuleb sellega, et kliendiutiliit peab olema installitud seadmesse (PDA, nutitelefon vms), millelt seanss parasjagu töötab. Seega selgub, et töötajate autentimine sõltub ühest paroolist, hoolimata sellest, et selle väljaselgitamiseks või äraarvamiseks on palju võimalusi. Ja see pole kaugeltki ühekordse parooligeneraatori tarkvara ainus haavatavus.

Erinevad seadmed OTP-tehnoloogiate riistvaraliseks juurutamiseks on võrreldamatult töökindlamad. Näiteks on seadmeid, mis näevad välja nagu kalkulaator (joonis 2): kui sisestate neisse serveri saadetud numbrite komplekti, genereerivad need manustatud salajase võtme alusel ühekordse parooli (päringu-vastuse meetod) . Selliste seadmete peamine haavatavus on see, et neid saab varastada või kaduda. Süsteemi on võimalik ründaja eest kaitsta ainult siis, kui kasutate usaldusväärset seadme mälukaitset salajase võtmega.

Riis. 2. RSA SecurID OTP seade.

Just sellist lähenemist rakendatakse kiipkaartide ja USB-märkide puhul. Oma mällu pääsemiseks peab kasutaja sisestama oma PIN-koodi. Olgu lisatud, et sellised seadmed on kaitstud PIN-koodi äraarvamise eest: kolm korda sisestades vale väärtus nad on blokeeritud. Võtmeteabe usaldusväärne salvestamine, võtmepaaride riistvaraline genereerimine ja krüptograafiliste toimingute sooritamine usaldusväärses keskkonnas (kiipkaardi kiibil) ei võimalda ründajal salajast võtit välja võtta ja teha ühekordse parooli genereerimise seadmest koopiat.

OTP rakendamise näide

Niisiis peetakse kiipkaarte ja USB-märke kõige usaldusväärsemateks ühekordseteks paroolide generaatoriteks, mis on kaitstud peaaegu kõigi juurutamise haavatavuste eest. Pealegi on viimased selgelt mugavamad: neid saab kasutada igas arvutis või sülearvutis ilma täiendavate kiipkaartide jaoks vajalike lugemisseadmeteta. Lisaks on olemas OTP-tehnoloogiaga USB-võti, mis võib töötada ilma USB-pordita. Sellise elektroonilise võtme näide on Aladdini eToken NG-OTP (joonis 3).

Väärib märkimist, et Aladdin (http://www.aladdin.com) osaleb aktiivselt ülalmainitud OATH-algatuse edendamises ja siin käsitletav võti on valitud VeriSign Unified Authentication lahenduse põhikomponendiks. Tõsi, selles süsteemis nimetatakse seda erinevalt: eToken VeriSign. Selle lahenduse põhieesmärk on tõsta kindlustunnet interneti teel sõlmitud tehingute vastu ning see põhineb rangel kahefaktorilisel riistvaravõtmel põhineval autentimisel. Sellised eToken NG-OTP toote OEM-tarned kinnitavad selle kvaliteeti ja vastavust kõigile OATH-i spetsifikatsioonidele.

eToken-seeria seadmed on Venemaal üsna laialt levinud. Juhtivad tootjad nagu Microsoft, Cisco, Oracle, Novell jne pakuvad oma toodetele tuge (eTokenil on rohkem kui 200 rakendust koos infoturbe rakendustega).

Niisiis põhineb eToken NG-OTP teisel riistvaravõtmel, rea populaarseim mudel on eToken PRO. Tegemist on kaitstud mäluga kiipkaardikiibil põhineva täisväärtusliku tokeniga, mille abil saab turvaliselt salvestada võtmeinfot, kasutajaprofiile ja muid konfidentsiaalseid andmeid, teha riistvaralisi krüptoarvutusi ning töötada asümmeetriliste võtmete ja X.509 sertifikaatidega.

Lisaks ülalkirjeldatud võimalusi rakendavatele moodulitele sisaldab eToken NG-OTP võti riistvaralist ühekordset parooligeneraatorit (joonis 4). See töötab sündmuste sünkroonimise meetodil. See on sünkroonsete valikute seas kõige usaldusväärsem OTP-tehnoloogia rakendamine (väiksema desünkroniseerimisriskiga). eToken NG-OTP võtmes rakendatud ühekordse parooli genereerimise algoritm töötati välja OATH-i algatuse osana (see põhineb HMAC-tehnoloogial). Selle olemus on HMAC-SHA-1 väärtuse arvutamine ja seejärel saadud 160-bitise väärtuse kuue numbri kärpimine (valimine). Just nemad toimivad ühekordse paroolina.

eToken NG-OTP kombineeritud võtme huvitav omadus on võimalus kasutada ühekordseid paroole isegi ilma võtit arvutiga ühendamata. OTP genereerimise protsessi saab käivitada seadme korpusel asuva spetsiaalse nupu vajutamisega (joonis 5) ja selle tulemus kuvatakse sel juhul sisseehitatud LCD-ekraanil. See lähenemisviis võimaldab kasutada OTP-tehnoloogiat isegi nendes seadmetes, millel pole USB-porte (nutitelefonid, pihuarvutid, mobiiltelefonid jne) ja arvutites, kus need on blokeeritud.

Kõige usaldusväärsem on kõnealuse võtme kombineeritud töörežiim. Selle kasutamiseks peab seade olema arvutiga ühendatud. Siin räägime kahefaktorilisest autentimisest, mida rakendatakse mitmel viisil. Ühel juhul on võrgule juurdepääsu saamiseks vaja selle sisestamiseks kasutada nii kasutaja enda parooli kui ka OTP väärtust. Teine valik nõuab OTP ja OTP PIN-koodi (kuvatakse klahviekraanil).

Loomulikult võib eToken NG-OTP võti töötada standardse USB-märgina – kasutaja autentimiseks digitaalsete sertifikaatide ja PKI tehnoloogia abil, isiklike võtmete salvestamiseks jne. Seega on kõnealust toodet soovitatav kasutada paljudes sellega seotud projektides. turvalise kaugjuurdepääsu ja kahefaktorilise autentimise vajadusele. Selliste hübriidvõtmete kasutamine ettevõtte mastaabis võimaldab kasutajatel oma võtmetega töötada nii kontoris kui ka väljaspool seda. Selline lähenemine vähendab infoturbesüsteemi loomise kulusid, vähendamata selle töökindlust.

Võtame selle kokku

Seega saab OTP ühekordsete paroolide kontseptsiooni koos kaasaegsete krüptotehnikatega kasutada usaldusväärsete kaugautentimissüsteemide rakendamiseks. Sellel tehnoloogial on mitmeid tõsiseid eeliseid. Esiteks on see usaldusväärsus. Tänapäeval ei ole teada palju meetodeid tõeliselt "tugevaks" kasutaja autentimiseks teabe edastamisel avatud sidekanalite kaudu. Vahepeal ilmneb see probleem üha sagedamini. Ja ühekordsed paroolid on selle üks paljutõotavamaid lahendusi.

Ühekordsete paroolide teine ​​eelis on "standardsete" krüptoalgoritmide kasutamine. See tähendab, et olemasolevad arendused sobivad suurepäraselt OTP-d kasutava autentimissüsteemi juurutamiseks. Tegelikult tõestab seda selgelt sama eToken NG-OTP võti, mis ühildub kodumaiste krüptoteenuste pakkujatega. Selliseid märke saab kasutada olemasolevates ettevõtte turvasüsteemides ilma neid ümber ehitamata. Selle tulemusena saab ühekordsete paroolide tehnoloogiat rakendada suhteliselt madalate kuludega.

Ühekordsete paroolide eeliseks on ka see, et kaitse on nõrgalt sõltuv inimfaktorist. Tõsi, see ei kehti kõigi selle rakenduste kohta. Nagu me juba ütlesime, sõltub paljude ühekordsete parooliprogrammide töökindlus kasutatava PIN-koodi kvaliteedist. USB-märgistel põhinevad riistvarageneraatorid kasutavad täielikku kahefaktorilist autentimist. Ja lõpuks, OTP kontseptsiooni neljas eelis on selle mugavus kasutajatele. Vajalikule teabele juurdepääsu saamine ühekordsete paroolide abil pole keerulisem kui selleks staatiliste märksõnade kasutamine. Eriti tore on see, et mõnda käsitletud tehnoloogia riistvararakendust saab kasutada mis tahes seadmes, olenemata sellele installitud pordidest ja tarkvarast.

Ühekordne parool

Kasutatakse veebitehingu, näiteks kaugjuhtimispuldi, kinnitamiseks pangateenused. Panganduses on kõige levinum ühekordse parooli andmise viis internetipanga tehingut tegevale kliendile saadetav SMS-sõnum.

Lisaks saab pank väljastada ühekordseid paroole nn kraapekaardil - plastkaart, kus paroolid on peidetud pestava katte taha. Sel juhul kustutab klient, olles saanud internetipangasüsteemist juhised sisestada ühekordne parool (konkreetse seerianumbriga), kustutab kaardil vajaliku numbri kõrval oleva kaane ja sisestab koodi süsteemi.

Kasutatakse sularahaautomaadis ühekordsete paroolide loendi väljastamise meetodit - kviitungil -, kuid aja jooksul kaotab see oma tähtsuse. Sarnaselt kraapekaardil olevatele paroolidele on neil seerianumbrid ja need sisestatakse vastavalt internetipanga süsteemi juhistele.

Pettustevastases võitluses kasutavad pangad üha enam ühekordseid paroole mitte ainult finantstehingute kinnitamiseks, vaid ka esmaseks internetipangasüsteemi sisselogimiseks.

Tavaliselt, krediidiorganisatsioonid Nad väljastavad ühekordsete paroolidega kaarte või väljatrükke tasuta, kuid see ei juhtu alati. Seega maksab Uralsibis ühekordsete võtmete komplekt Interneti-pangandussüsteemi pääsemiseks kliendile 50 rubla, Master Bankis maksab muutuva koodikaart (sisaldab 132 numbrit) kliendile 200 rubla.

Mõned Interneti-pangasüsteemid, näiteks Bank of Moscow, SMP Bank, pakuvad tokenit - ühekordsete koodide elektroonilist generaatorit. Ja Master Bank rakendab kaasaskantavate seadmete rakendust, mis võimaldab teil genereerida ka ühekordseid koode.


Vaadake, mis on "ühekordne parool" teistes sõnaraamatutes:

    ühekordne parool- dünaamiliselt muutuv parool OTP generaator on iseseisev kaasaskantav elektrooniline seade, mis suudab genereerida ja kuvada digitaalseid koode sisseehitatud LCD-ekraanil. VASCO Digipassi seadmete perekonna jaoks on mehhanism... ... Tehniline tõlkija juhend

    Ühekordne parool- VTB24 panga kraapekaart ühekordsete paroolidega Ühekordne parool (OTP) on kehtiv parool ... Wikipedia

    Ühekordne padi- Vernami šifr (teine ​​nimi: inglise One time pad one-time pad skeem) krüptograafias, sümmeetriline krüpteerimissüsteem, mille leiutasid 1917. aastal AT T töötajad major Joseph Mauborgne ja Gilbert Vernam. Vernami šifr on... ... Wikipedia

    Ühekordne parool - Plastkaartühekordsete paroolidega Ühekordne parool on parool, mis kehtib ainult ühe autentimisprotsessi jaoks piiratud aja jooksul. Ühekordse parooli eelis staatilise parooli ees... ... Wikipedia

    SecurID- RSA SecurID RSA SecurID logo ... Wikipedia

    Autentimine- (inglise Authentication) autentimise protseduur ... Wikipedia

    Autentimine- Autentimine (inglise keeles: Authentication), mis kontrollib, kas juurdepääsu subjektile kuulub tema esitatud identifikaator; autentimine... Vikipeedia

    Ajapõhine ühekordse parooli algoritm- TOTP (Time Based One Time Password Algorithm, RFC 6238.) OATH-algoritm ühekordsete paroolide loomiseks turvaliseks autentimiseks, mis on HOTP (HMAC Based One Time Password Algorithm) edasiarendus. On ühesuunaline algoritm... ... Wikipedia

    Kõnedele vastus (rämpspost)- Väljakutse vastus on strateegia kasutaja autentimiseks, kontrollides tema vastuse õigsust ettearvamatule süsteemipäringule. Enamasti on selline kontroll suunatud robotiprogrammi eristamisele reaalsest inimesest.... ... Wikipedia

    Vernam šifr- (teine ​​nimi: inglise One time pad one-time pad skeem) krüptograafias, sümmeetriline krüpteerimissüsteem, mille leiutasid 1917. aastal AT T töötajad major Joseph Mauborgne ja Gilbert Vernam. Vernam šifr... ... Wikipedia

OTP (One Time Password) kasutamine on kauplemiskontodega töötamisel täiendav turvatase. Iga kord, kui loote ühenduse oma kontoga, peab kasutaja sisestama kordumatu ühekordse parooli.

Ja toimib ühekordse parooligeneraatorina.

Ühekordsete paroolide kasutamise alustamiseks peate oma kauplemiskonto siduma parooligeneraatoriga, mis on iPhone'i või Androidi mobiiliplatvorm.

Luba OTP iPhone'is

Avage mobiiliplatvormi jaotis "Seaded" ja valige OTP. Esmakordsel avamisel see jaotis Turvalisuse suurendamiseks on vaja neljakohalist parooli. Parooligeneraatorisse pääsemiseks tuleb parool sisestada iga kord.

Täiendavad käsud:

  • Sünkrooni kellaaeg – sünkroonige mobiilseadme kellaaeg võrdlusserveriga. Täpsuse nõue tuleneb sellest, et ühekordne parool on seotud praeguse ajaintervalliga ning kauplemisplatvormi ja serveri poolel peab see aeg kattuma.

OTP lubamine Android-seadmes

Minge mobiilterminali jaotisesse "Kontod" ja vajutage . Selle jaotise esmakordsel avamisel tuleb täiendava turvalisuse huvides määrata neljakohaline parool. Parooligeneraatorisse pääsemiseks tuleb parool sisestada iga kord.

Avanevas aknas valige "Lingi kontoga".

Järgmisena märkige selle serveri nimi, millel kauplemiskonto on avatud, konto number ja selle peaparool. Valik "Bind" peaks olema lubatud. See tuleb välja lülitada, kui kavatsete määratud konto generaatorist lahti ühendada ega kasuta enam ühekordseid paroole.

Pärast akna ülaosas asuva nupu "Link" klõpsamist seotakse kauplemiskonto generaatoriga ja ilmub vastav teade.

Samamoodi saate generaatoriga siduda piiramatu arvu kauplemiskontosid.

Ühekordne parool kuvatakse OTP jaotise ülaosas. Selle all kuvatakse sinise triibu kujul selle parooli kehtivusaja indikaator. Kui parool aegub, muutub parool kehtetuks ja luuakse uus.

Täiendavad käsud:

  • Muuda parooli – muutke generaatorile juurdepääsuks parooli.
  • Sünkrooni kellaaeg – sünkroonige mobiilseadme kellaaeg võrdlusserveriga. Täpsuse nõue tuleneb sellest, et ühekordne parool on seotud kehtiva ajaintervalliga ning see aeg peab klienditerminali ja serveri poolel ühtima.

OTP kasutamine platvormis

Pärast generaatoriga sidumist, kui proovite ühendust luua kauplemisplatvorm Kauplemiskontot kasutades küsitakse lisaks ühekordset parooli:

Tänapäeval kasutavad inimesed sageli arvete, alimentide ja laenude tasumiseks internetipanka. Uued tehnoloogiad võimaldavad arvuti taga istuval inimesel avada konto või hoiustada ning kontrollida oma kaardil olevat rahajääki. Internetipanga kasutamine võimaldab säästa oluliselt aega ilma tasudele enamasti raha kulutamata. Kõik, mida vajate, on juurdepääs oma isiklikule kontole süsteemis Internetis Sberbank.

Mitte igaüks ei tea, kuidas saada ühekordsete paroolide loendit, et teha tehinguid edasiseks kinnitamiseks isiklik konto Sberbanki toimingud.

Vajadus saada isikuandmeid

Kontode ja kaartidega tehingute tegemiseks peab inimene esmalt saama püsiparooli. Seda saab teha mitmel viisil, näiteks pöördudes pangakontori poole. Enamasti kasutavad inimesed andmete hankimiseks sularahaautomaate.

Kaardiomaniku soovil genereerimine toimub automaatselt. Andmeid saab hiljem muuta. Isikliku konto turvalisuse taseme tõstmiseks on kõige parem kasutada keerukaid kombinatsioone.

Miks vajate ühekordset parooli?

Sberbanki kliendi identiteedi täiendavaks kontrollimiseks on vaja ühekordset parooli. Selline identifitseerimissüsteem on vajalik:

  1. isiklikule kontole sisse logides;
  2. Internetipanga süsteemi kaudu oma kaartide, hoiuste, kontodega erinevate toimingute tegemisel.

Olemas järgmised tüübidühekordsed paroolid:

  • sularahaautomaatide või terminalide abil prinditud tšekid (need sisaldavad korraga 20 erinevat parooli);
  • paroolid, mis saadi Sberbanki sõnumiga otse konkreetse toimingu ajal telefoni.

Mõnda tehingut Sberbank Online'i süsteemis saab teha alles pärast SMS-i parooliga kinnitamist.

Ükskõik milline rahalised tehingud Soovitatav on kasutada ühekordseid paroole. Kasutaja saab Sberbank Online'i keelata, kuid see ei takista tal ühekordseid paroole üldse kasutamast. Niisiis, töötades koos erinevaid programme pangas, on tehingute kinnitamiseks vaja nende sisestamist.

Ühekordsete paroolide vastuvõtmine

Ühekordsete paroolide hankimiseks on mitu võimalust. Ei tohi unustada, et internetipangasüsteemis töötamiseks on vaja sisselogimist ja püsiparooli.
Sberbanki sularahaautomaadi kaudu
Klient peab olema Vene Föderatsiooni Sberbanki deebetkaardi (krediit ei tööta) omanik. See võib olla palk või maksekaart. Kui see on saadaval, peate selle endaga kaasa võtma ja minema lähimasse terminali või sularahaautomaati (selle hankimise protseduur on identne).

  1. Peate sisestama kaardi kaardilugejasse.
  2. Kui süsteem seda küsib, sisestage kinnituskood.
  3. Ilmub peamenüü, milles peaksite klõpsama jaotist "Sberbank Online ja mobiilipank". Kui sularahaautomaadile on installitud vana tarkvara, siis sellist elementi seal ei ole. Sel juhul peate klõpsama nuppu "Interneti-teenus".
  4. Avanevas menüüs klõpsake nuppu "Hangi ühekordsete paroolide loend". Pangaautomaat prindib välja paroolide nimekirja, neid on 20.

Loendis olevad paroolid on ajatud. Kui kasutaja prindib välja uued paroolid, muutuvad vanad kehtetuks ja neid ei saa enam kasutada.

Et kliendil oleks paroolide kasutamine mugavam, on neil kõigil oma number. Internetis tehingute tegemisel nõuab internetipanga süsteem kasutajalt ühekordse parooli sisestamist, millel on kindel number. Neid küsitakse juhuslikus järjekorras, seega peate hoolikalt jälgima süsteemisõnumit, mis palub teil sisestada ühekordne parool.

Pange tähele, et maksed ja ülekanded, mis on kinnitatud tšeki ühekordse parooliga, ei tohi ületada 3000 rubla.

Kui kõik 20 parooli kontrollist on kadunud, peate hankima uued samamoodi nagu eelmised.

Kui paroolidega kviitung läks kaduma või selle andmed said kellelegi teisele teada, peate viivitamatult printima uued või blokeerima vanad. Selleks peate helistama kontaktkeskusesse ühel järgmistest numbritest

  • +7 (4 9 5 ) 5 0 0 - 5 5 5 0 ;
  • +7 (8 0 0 ) 5 5 5 - 5 5 5 0 .

SMS-i teel
Seda ühekordsete paroolide hankimise meetodit saavad kasutada vaid need kliendid, kes on eelnevalt oma kaardiga mobiilipanga teenuse ühendanud. Seda saab teha, võttes ühendust mis tahes Sberbanki filiaaliga või kasutades terminali (ATM). Teine võimalus mobiilipangaga ühenduse loomiseks on helistada kontaktkeskusesse. Selleks peate esitama kontrolliteabe, mis on kõige parem eelnevalt ette valmistada.

Sberbank Online'i kaudu mis tahes tehingu sooritamisel saab kasutaja oma mobiiltelefoni ühekordsete paroolidega sõnumeid (üks parool - üks sõnum). Sisselogimine tuleb teha selle kaardi kaudu, millega olete ühendatud Mobiilipank. Vastasel juhul peate kasutama kviitungil olevate ühekordsete paroolide loendit.

Saadetud sõnumit vaadates peate veenduma, et tehingu andmed on õiged. Selleks peate võrdlema Sberbank Online'i süsteemi sisestatud andmeid SMS-i teabega.

Iga ühekordset parooli kasutatakse üks kord ja seda ei saa uuesti kasutada. Kui kasutaja on esitanud soovi saada uus ühekordne parool, siis vana tühistatakse. Seda ei saa enam kasutada.

Ühekordsete paroolidega sõnumid tulevad alati Sberbanki lühinumbrilt 900. SMS-is on näidatud järgmised tehingu üksikasjad:

  • kaardi või konto number, millega tehing tehakse;
  • tehingu summa;
  • parool toimingu kinnitamiseks.

Olenevalt sooritatud tehingu tüübist võib olla ka muid andmeid.

Ühekordsete paroolide sisestamise protseduur

Teie isikliku konto süsteemiseadete põhjal võidakse teil lubada kasutada ühte või mitut tüüpi tehingukinnitust ühekordsete paroolidega. Kui saab kasutada mõlemat meetodit, annab süsteem enne kinnitamist töövõtjale valikuvõimaluse.

Kui kasutaja valib tšekist kinnituse, kuvatakse välja kõrval tšeki number ja parool.

Kui teie telefoni saabub kinnitus SMS-i kujul, tuleks saadud parool reale "Sisesta SMS-i parool" ümber kirjutada.

Pärast parooli sisestamist palub süsteem teil kõiki üksikasju uuesti kontrollida. Kui kõik need on õigesti täidetud, peate klõpsama nuppu "Kinnita".

Millist vastuvõtumeetodit on mugavam kasutada?

Kui inimene teab, kuidas Sberbank Online'i süsteemis ühekordseid paroole kasutada, on tal veel üks küsimus - milline saadaolevatest meetoditest on kõige mugavam ja usaldusväärsem?

Süsteemi sisselogimiseks, kasutades ühendatud kaardi andmeid Mobiilipank, läheb sisselogimiseks igal juhul vaja sõnumiga saadud ühekordset parooli. Kuid toiminguid saab kinnitada mis tahes kasutajale sobival viisil. SMS-paroolid ei jõua alati õigel ajal kohale. Mõnikord saadetakse need välja hilinemisega. Ja ükskõik milline neist kestab vaid 5 minutit. Kui süsteemis või mobiiliühenduses esineb tõrkeid, on parem kasutada kinnituseks kviitungil olevaid paroole.

Ühekordne parool(ühekordne parool, OTP) on parool, mis kehtib ainult ühe seansi jaoks. Ühekordse parooli kehtivusaeg võib olla piiratud ka teatud ajavahemikuga. Ühekordse parooli eelis staatilise parooli ees on see, et parooli ei saa uuesti kasutada. Seega ei saa ründaja, kes on püüdnud kinni õnnestunud autentimisseansist andmeid, kasutada kopeeritud parooli kaitstud infosüsteemile juurdepääsu saamiseks. Ühekordsete paroolide kasutamine iseenesest ei kaitse autentimiseks kasutatava sidekanali aktiivsel sekkumisel põhinevate rünnete eest (näiteks man-in-the-middle rünnakute eest).

Ühekordsete paroolide loomiseks kasutatakse ühekordset parooligeneraatorit, millele pääseb ligi ainult antud kasutaja. Tavaliselt esitatakse ühekordsed paroolid numbrite jadana ja neid kasutatakse kaugteenindussüsteemidele juurdepääsuks. See on sisemine Infosüsteemid organisatsioonid.

Panganduses on kõige levinum viis ühekordse parooli andmiseks SMS-i kaudu, mille pank saadab internetipangasüsteemi kasutavale kliendile.

Lisaks saab ühekordseid paroole pank väljastada nn kraapekaardil – plastkaardil, millel on paroolid kustutatava katte taha peidetud. Sel juhul kustutab klient, olles saanud internetipangasüsteemist juhised sisestada ühekordne parool (konkreetse seerianumbriga), kustutab kaardil vajaliku numbri kõrval oleva kaane ja sisestab koodi süsteemi.

Kviitungile ühekordsete paroolide loendi väljastamise meetodit kasutatakse, kuid aja jooksul kaotab see oma tähtsuse. Sarnaselt kraapekaardil olevatele paroolidele on neil seerianumbrid ja need sisestatakse vastavalt internetipanga süsteemi juhistele.

Pettustevastases võitluses kasutavad pangad üha enam ühekordseid paroole mitte ainult finantstehingute kinnitamiseks, vaid ka esmaseks internetipangasüsteemi sisselogimiseks.

Mõned internetipangasüsteemid pakuvad elektroonilist ühekordset koodigeneraatorit.

OTP genereerimise algoritmid kasutavad tavaliselt juhuslikke numbreid. See on vajalik, sest vastasel juhul oleks eelnevate teadmiste põhjal lihtne ennustada järgnevaid paroole. Konkreetsed OTP-algoritmid on üksikasjalikult väga erinevad. Allpool on loetletud erinevad lähenemisviisid ühekordsete paroolide loomiseks.

  1. Matemaatiliste algoritmide kasutamine uue parooli loomiseks eelmiste põhjal (paroolid on tegelikult kett ja neid tuleb kasutada kindlas järjekorras).
  2. Põhineb serveri ja kliendi vahelisel ajasünkroonimisel, parooli andmisel (paroolid kehtivad lühikest aega).
  3. Kasutades matemaatilist algoritmi, kus uus parool põhineb väljakutsel (näiteks serveri poolt valitud juhuslik arv või osa sissetulevast sõnumist) ja/või loendur.