تصویر گرافیکی ساعت و پسورد که زیر آن عبارن "رمز یکبار مصرف" نوشته شده است"

رمز یکبار مصرف (OTP)

استفاده از رمزهای عبور سنتی به تنهایی، نقاط ضعف زیادی دارد. این مورد حتی در مورد رمزهایی که با دقت انتخاب شده اند و در واقع رمزهای عبور ایمن هستند نیز صادق است. اما مشکل چیست؟ اگر شما به طور مرتب از رمز عبور استفاده می کنید ، این امکان وجود دارد که کاربران غیرمجاز به رمز عبور شما دسترسی پیدا کنند. این امر اغلب در هنگام حملات بازپخش (replay attacks) اتفاق می افتد که در آن رمز عبور رهگیری شده و سپس توسط کاربران غیر مجاز برای احراز هویت، مجدداً مورد استفاده قرار می گیرد.

گاهی اوقات مهم نیست که چقدر مراقب باشید. در سال های اخیر ، حتی سرویس های آنلاین معروف نیز بارها در معرض حملات سایبری قرار گرفته اند که باعث شده امنیت داده های مشتریان زیادی به خطر بیفتد.

چگونه می توانید خود را در برابر این مسئله محافظت کنید؟ یک استراتژی، تغییر رمز عبور در فواصل منظم است. با این حال ، اگر نمی خواهید رمزهای عبور خود را هر روز تغییر دهید، راه حل دیگری که پیاده سازی آن بسیار آسان تر است ، استفاده از رمز یکبار مصرف (OTP) است.

رمز یکبار مصرف (OTP) چیست؟

رمز یکبار مصرف (OTP) رشته ای از کاراکترها یا اعداد است که کاربر را برای ورود به یک سامانه یا انجام یک تراکنش واحد، احراز هویت می کند. گذرواژه های یکبار مصرف اغلب با اختصار OTP و گاهی اوقات کدهای OTP نیز نامیده می شوند.

پس از اینکه با یک رمز یکبار مصرف وارد سامانه یا برنامه ای می شوید رمز منقضی شده و نمی تواند برای نشست ورود بعدی استفاده شود.

گذرواژه های یکبار مصرف اغلب برای احراز هویت دو عاملی در حوزه هایی مانند بانکداری آنلاین استفاده می شوند ، اما در حال حاضر سازمان ها نیز به طور فزاینده ای در حال استفاده از آن ها هستند. در مرحله اول ، اطلاعات ورود به سیستم معمول خود را وارد می کنید. سپس با استفاده از ابزاری مانند گوشی هوشمند یک رمز یکبار مصرف پویا ایجاد می کنید که برای احراز هویت OTP لازم است.

تیم های پشتیبانی فنی معمولاً رمزهای یکبار مصرف را برای افرادی که اعتبار ورود به سیستم خود را در یک حساب یا وب سایت فراموش کرده اند و یا منبع مورد نظر به محافظت اضافی در برابر تلاش های ناخواسته دسترسی نیاز دارد ، مدیریت می کنند. همچنین رمزهای یکبار مصرف می توانند لایه دوم تأیید اعتبار را برای کاربری که از قبل در سیستم تأیید نشده است ایجاد کنند.

این مرحله اضافی امنیت بیشتری را تضمین می کند. اگر کاربران غیرمجاز در طی این فرآیند به رمز ورود معمول شما دسترسی پیدا کنند ، باز هم رمز عبور یکبار مصرف نخواهند داشت. به همین دلیل امروزه سرویس های آنلاین بیشتر و بیشتر شروع به استفاده از احراز هویت دو عاملی می کنند ، مخصوصاً وقتی صحبت از داده های حساس می شود.

هنگام احراز هویت کاربران، لازم است که سازمان ها سه فاکتور مستقل را به خاطر داشته باشند:

1.دانش: مواردی که کاربر می داند مانند گذرواژه ، پین یا پاسخ به یک سوال امنیتی.

2.مالکیت: چیزهایی که کاربر دارد مانند یک رمز ، کارت اعتباری یا تلفن.

3.بیومتریک: مواردی که کاربر را به صورت منحصر به فرد شناسایی می کند ، مانند اثر انگشت یا داده های رفتاری

رمز عبور یکبار مصرف (OTP) چگونه کار می کند؟

برای کار با رمز یکبار مصرف ، کاربر و سامانه مورد نظر باید رمز ورود را بدانند. برای این کار دو روش مختلف وجود دارد:

لیست رمز عبور

لیست رمز عبور آسان ترین راه برای استفاده از رمز های یکبار مصرف است. این لیست در واقع یک لیست آماده از رمزهای عبور است که هم برای کاربر و هم برای سیستم شناخته شده است. اگر از یکی از این رمزهای عبور یک بار استفاده شود ، کاربر به سادگی آن را از لیست حذف می کند.

عیب این روش واضح است. چنانچه شخصی لیست را گم کند ، کاربران غیرمجاز می توانند به رمزهای عبور دسترسی پیدا کنند. در حالی که از لیست رمزهای یکبار مصرف هنوز هم بعضی اوقات در بانکداری آنلاین استفاده می شود ، ارائه دهندگان به دلیلی که در بالا توضیح داده شد به صورت فزاینده به سمت رمزهای عبور OTP ایجاد شده به صورت پویا می روند.

رمزهای عبور ایجاد شده به صورت پویا

امروزه رمزهای یکبار مصرف پویا متداول ترین روش هستند. از توکن های سخت افزاری به طور گسترده ای برای تولید رمزهای عبور استفاده می شود. این دستگاه های کوچک به اشکال مختلفی ارائه می شوند.

به این دستگاه ها، توکن OTP نیز گفته می شود. وجه اشتراک همه آنها این است که معمولاً دارای یک صفحه نمایش هستند و برای یک جلسه ورود به سیستم با فشار دادن یک دکمه رمزهای یک بار مصرف تولید می کنند. رمزهای عبور تولید شده توسط این دستگاه ها اغلب با فاکتورهای تأیید اعتبار از قبیل پین ها یا شناسه های کاربر وارد می شوند.

از الگوریتم ویژه ای برای تولید رمز عبور پویا استفاده می شود. سه نوع الگوریتم وجود دارد:

  • مبتنی بر زمان (Time-based)
  • مبتنی بر رویداد (Event-based)
  • چالش – پاسخ (Challenge-response)

1. مبتنی بر زمان

با استفاده از این روش، سرویس گیرنده و سرور با استفاده از الگوریتم یکسان رمزهای عبور هماهنگ ایجاد می کنند. بنابراین این نوع رمز یکبار مصرف مبتنی بر زمان (TOTP) در سمت کاربر و سمت سرور شناخته شده است و برای یک بازه زمانی دقیقاً مشخص شده ، معمولاً 1 تا 15 دقیقه معتبر است.

2. مبتنی بر رویداد

گذرواژه های یکبار مصرف مبتنی بر رویداد با انجام یک عمل خاص ، به عنوان مثال با فشار دادن یک دکمه بر روی توکن امنیتی ایجاد می شوند. همانند روش مبتنی بر زمان ، از الگوریتم یکسانی در سمت سرور و سمت کاربر استفاده می شود. رمز ورود بر اساس رمز قبلی محاسبه می شود بنابراین می تواند توسط سرور تأیید شود.

3. پاسخ مبتنی بر چالش

در این روش ، سرور یک درخواست (چالش) را مشخص می کند که کاربر باید به آن پاسخ دهد. کاربر مقدار مشخصی را از سرور دریافت می کند و از آن برای محاسبه رمز عبور یکبار مصرف استفاده می کند. از آنجا که سرور الگوریتم و مقدار مشخص شده را می داند ، می تواند رمز ورود ایجاد شده را بررسی کند.

مزایای گذرواژه های یکبار مصرف (OTP) چیست؟

تا اینجا دانستیم که رمز یکبار مصرف چیست. در ادامه به این می پردازیم که چگونه رمزهای یکبار مصرف امنیت کسب و کار را حفظ می کنند.

مقاومت در برابر حملات بازپخش: احراز هویت OTP مزایای ویژه ای نسبت به استفاده از رمز عبور ایستا به تنهایی فراهم می کند. برخلاف رمزهای عبور سنتی ، رمز یکبار مصرف در مقابل حملات بازپخش آسیب پذیر نیست . به عبارت دیگر در جایی که یک هکر انتقال داده را رهگیری کرده (مانند زمانی که رمز عبور کاربر ارسال می شود) ، آن را ضبط می کند و از آن برای دسترسی به سیستم یا حساب کاربر استفاده می کند. هنگامی که یک کاربر با استفاده از رمز یکبار مصرف (OTP) به حساب خود دسترسی پیدا می کند ، کد نامعتبر می شود و بنابراین نمی تواند توسط مهاجمان دوباره مورد استفاده قرار گیرد.

حدس زدن دشوار است: رمز یکبار مصرف (OTP) اغلب با الگوریتم هایی ایجاد می شود که از تصادفی بودن استفاده می کنند. این باعث می شود مهاجمین نتوانند با موفقیت آنها را حدس زده و استفاده کنند. رمز های یکبار مصرف ممکن است فقط برای مدت زمان کوتاهی معتبر باشند ، کاربر نیاز به داشتن اطلاعاتی درباره OTP قبلی داشته باشد یا اینکه یک چالش را در اختیار کاربر قرار دهند (به عنوان مثال ، “لطفا شماره دوم و پنجم را وارد کنید”). تمام این اقدامات در مقایسه با احراز هویت فقط با رمز عبور ، سطح حمله محیط را بسیار کاهش می دهند.

کاهش خطر در هنگام به خطر افتادن گذرواژه ها: کاربرانی که شیوه های امنیتی قوی را در پیش نمی گیرند ، مجبورند اعتبارات یکسان را در حساب های مختلف بازیابی کنند. اگر این اعتبارنامه ها به بیرون درز پیدا کند یا در دست فرد دیگری قرار گیرد ، داده های سرقت شده و کلاهبرداری ها، تهدیدهای مهمی برای کاربر از هر نظر است. امنیت رمز یکبار مصرف(OTP) به جلوگیری از نقض دسترسی کمک می کند ، حتی اگر یک مهاجم مجموعه معتبری از اطلاعات ورود به سیستم را بدست آورده باشد.

تصویر گرافیکی لپ تاپ که قفل است و گوشی که رمز پویا رو آن نمایش داده شده است

انواع رمز یکبار مصرف

احراز هویت OTP به لطف توکن ها امکان پذیر است. چند نوع توکن مختلف وجود دارد که در ادامه به معرفی هر یک می پردازیم:

توکن های سخت افزاری

توکن های سخت افزاری دستگاه های فیزیکی هستند که OTP را انتقال می دهند و به کاربران کمک می کنند تا به حساب ها و منابع دیگر دسترسی پیدا کنند. توکن های سخت افزاری به طور کلی شامل موارد زیر هستند:

توکن های متصل:

این توکن ها رایج ترین نوع مورد استفاده در احراز هویت چند عاملی هستند. کاربران این توکن ها را به سیستم یا دستگاهی که می خواهند به آن دسترسی پیدا کنند متصل می کنند. کارت های هوشمند و درایوهای USB به ترتیب در کارت خوان هوشمند دستگاه و درگاه USB قرار می گیرند.

توکن های غیرمتصل:

کاربران مجبور نیستند این توکن ها را به صورت فیزیکی وارد کنند. توکن های غیرمتصل معمولاً OTP برای ورود کاربران ایجاد می کنند. سیستم های ورود بدون کلید ، تلفن های همراه و دستگاه های امنیتی بانکی نمونه هایی از این موارد هستند.

توکن های بدون تماس:

این توکن ها داده های احراز هویت را به یک سیستم منتقل می کنند ، که اطلاعات را تجزیه و تحلیل کرده و تعیین می کند کاربر حق دسترسی دارد یا نه. توکن های بلوتوث نمونه ای از انتقال بدون تماس است و نیازی به اتصال فیزیکی یا ورودی دستی ندارد.

توکن های نرم افزاری

توکن های نرم افزاری به صورت فیزیکی در اختیار ما نیستند. بلکه به صورت نرم افزاری در دستگاهی مانند لپ تاپ یا تلفن همراه وجود دارند. احراز هویت نرم افزاری معمولاً به شکل برنامه ای در می آید که اعلان های تلفن همراه یا پیام کوتاه را برای کاربر ارسال می کند تا به آنها پاسخ داده و هویت خود را تأیید کند.
همه این روش ها همان روند اساسی را دنبال می کنند: کاربر داده های تأیید اعتبار را به یک سیستم می فرستد ، سیستم صحت اطلاعات را تأیید می کند و در این صورت ، دسترسی مجاز به کاربر را اعطا می کند. در واقع ایده همان ایده استفاده از رمز عبور است با این تفاوت که در OTP ، داده های احراز هویت از سمت کاربر و سامانه های مورد نظر نشت نمی کنند.

کدام یک از روش های احراز هویت بهتر هستند؟

همانطور که می دانید همه روش ها برابر نیستند. با این حال اجرای هر شکلی از احراز هویت چند عاملی باعث بهبود امنیت نسبت به استفاده از گذرواژه ها به تنهایی می شود. هر فاکتور احراز هویت درجات متفاوتی از حفاظت را ارائه می دهد. در این جا چند توصیه داریم که به شما کمک می کند تا از آسیب پذیری جلوگیری کنید.

پیام کوتاه اگرچه ممکن است راحت تر باشد اما امنیت کمتری دارد!

ما از زندگی روزمره خود می دانیم که برقراری ارتباط از طریق پیام کوتاه چقدر آسان است. بنابراین منطقی است که بسیاری از سازمان ها و ارائه دهندگان خدمات، SMS OTP را به عنوان فاکتور دوم تأیید هویت پیاده سازی کنند.

اما باید بدانید که متأسفانه SMS OTP در برابر برخی حملات سایبری آسیب پذیر است ، از جمله:

تعویض و هک کردن سیم کارت:

سیم کارت شما به تلفن شما می گوید به کدام شرکت مخابراتی متصل شوید و با چه شماره تلفنی ارتباط برقرار کنید. در یک حمله مبادله سیم کارت ، یک مهاجم شرکت مخابراتی شما را متقاعد می کند تا شماره شما را به سیم کارت متعلق به خود تغییر دهد. در نتیجه ، آنها می توانند به تمام پیام های OTP پیام کوتاه همگام شده با حساب های شما دسترسی پیدا کنند.

تصاحب حساب:

بسیاری از ارائه دهندگان وایرلس به کاربران اجازه می دهند تا پیام های متنی را در پورتال وب خود مشاهده کنند. اگر حساب آنلاین شما برای پورتال وب فقط با یک رمز عبور ضعیف یا مشترک محافظت شود ، یک مهاجم می تواند این حساب را نقض کرده و به هر پیام SMS OTP دسترسی پیدا کند.

دستگاه های گمشده و همگام سازی شده:

از نظر تئوری ، از دست دادن تلفن به معنای این است که شما نمی توانید پیام های OTP پیامکی دریافت کنید. با این حال ، اکنون می توانیم پیام ها را بین دستگاه های مختلف همگام سازی کنیم که به ما امکان می دهد از طریق SMS OTP احراز هویت کرده و حتی بدون تلفن به حساب ها دسترسی پیدا کنیم. بنابراین ارسال پیام های حساس از این قبیل یک روش امنیتی قوی نیست، خصوصاً در مواردی که ایمیل شما ممکن است دارای یک رمز عبور قابل حدس باشد.

فیشینگ:

در یک حمله مهندسی اجتماعی ، یک مهاجم که خود را به جای کارمندی از سرویس قابل اعتماد شما جا می زند ، شما را فریب می دهد تا اعتبار حساب خود و OTP پیامک خود را تحویل دهید. حملات فیشینگ وابسته به هکرهایی است که از احساسات یا عدم دانش کاربران سواستفاده می کنند و می تواند منجر به نشت OTP پیام کوتاه به همان منوال رمز عبور شود.

با انطباق هرچه بیشتر کسب و کارها با کار از راه دور ، نیروهای کار به طور فزاینده ای از دستگاه های تلفن همراه خود برای دسترسی به برنامه های محل کار استفاده می کنند. برای کسب اطلاعات بیشتر در مورد چگونگی تأثیر این جریان بر روی اقدامات امنیتی ، مقاله چالش های دورکاری در کرونا را در وبلاگ آتین بخوانید.

توکن های امنیتی OTP فراز و نشیب هایی دارند.

توکن های سخت افزاری مانند RSA SecureID ، یک ارتقا قطعی بر روی OTP های مبتنی بر پیام کوتاه هستند که با اتکا به چیزی که کاربر در اختیار دارد ، باعث می شود که آنها کمتر از احراز هویت مبتنی بر دانش مورد سوء استفاده قرار گیرند. علاوه بر این ، یک دستگاه OTP مانند کلیدهای امنیتی U2F از الگوریتم های رمزگذاری نامتقارن استفاده می کند تا اطمینان حاصل کند که OTP هرگز رمزگشایی و افشا نمی شود.

با این حال ، ماهیت توکن های سخت افزاری علیه آنها کار می کند. کاربران باید وسیله دیگری را حمل کنند که ممکن است گم شود ، آسیب ببیند یا به سرقت برود. این مسئله باعث می شود که نگهداری از توکن های OTP به ویژه در سازمان های بزرگ ، چالش برانگیز باشد.
علاوه بر این ، توکن هایی که باید به طور فیزیکی به دستگاه متصل شوند همیشه قابل استفاده نیستند. به عنوان مثال ، درایوهای USB مانند کلیدهای U2F یک راه حل عملی برای ایمن سازی دستگاه های تلفن همراه نیستند که پورت USB ندارند.

برنامه های تأیید اعتبار یک گزینه قوی و ایمن است

احراز هویت کننده های موبایل مانند آتین و Google Authenticator با ارسال رمز یکبار مصرف (OTP) و اعلان های تلفن همراه به برنامه کاربر ، کاربران را تأیید می کنند. برنامه های احراز هویت به دلایلی از روش های فوق ایمن ترند:

  • رمز یکبار مصرف تلفن همراه به دسترسی به اینترنت ، موقعیت مکانی شما یا امنیت شرکت مخابراتی بی سیم شما بستگی ندارد. اعلان های OTP و نوتیفیکیشن به جای شماره شما به دستگاه شما متصل هستند و معمولاً بدون سرویس شبکه یا داده کار می کنند.
  • رمز یکبار مصرف موبایل معمولاً یک قابلیت رایگان است که در بسیاری از برنامه های تأیید اعتبار وجود دارد ، به این معنی که استفاده از آن در زمینه های سازمانی و فردی آسان است.
  • اعلان های تلفن همراه و کدهای OTP به سرعت منقضی می شوند و در مقایسه با SMS OTP خطر سوء استفاده را کاهش می دهند.
  • برخی از برنامه های احراز هویت کننده از بیومتریک مانند شناسایی چهره و اثر انگشت پشتیبانی می کنند. این مورد یک لایه محافظت قوی تر را ارائه می دهد در این صورت حتی اگر تلفن شما دزدیده شود ، هیچ کس به غیر از شما نمی تواند اعلان های تلفن همراه را در دستگاه بپذیرد.

آیا استفاده از رمزعبور یکبار مصرف برای همه الزامی است؟

گذرواژه های یکبار مصرف برای همه سرویس ها و وب سایت های آنلاین که شامل داده های بسیار حساس و مهم هستند توصیه می شود. به عنوان مثال:
  • بانکداری آنلاین
  • خدمات مالی مانند اوراق بهادار سهام آنلاین یا صرافی های رمزنگاری شده
  • داده های حساس شرکت
  • کانال های محرمانه ارتباطات
با این حال برای هر وب سایت نیازی به گذرواژه یکبار مصرف ندارید. اما همیشه باید مطمئن باشید که از رمزهای عبور ایمن استفاده می کنید ، حتی اگر چندین بار از رمز عبور استفاده کنید. تحقیقات نشان داده است که ، علیرغم افزایش مداوم جرایم اینترنتی ، بسیاری از کاربران هنوز از امنیت کافی برخوردار نیستند.

بدون دیدگاه

مقالات مرتبط :

محصولات

راهکارها

راهنمای سایت

سامانه مدیریت هویت و دسترسی آتین
enamad
  • آدرس : تهران، کارگر شمالی، خیابان شانزدهم، پارک علم و فناوری دانشگاه تهران، ساختمان شماره 2، واحد 312
  • کد پستی : 74845- 14458​
  • تلفن: 88176039 - 021​
  • ایمیل: contactus@authin.ir​

© تمامی حقوق برای شرکت دانش بنیان آتین محفوظ است.

Linkedin
Instagram
Github
Twitter