رمز عبور یکبار مصرف (One-Time Password) به چه معنا است؟
مقاله

رمز عبور یکبار مصرف (One-Time Password) به چه معنا است؟

سیستم های رمز عبور یکبار مصرف، مکانیزمی را برای ورود به شبکه یا سرویس با استفاده از رمز منحصر به فرد ارائه می دهند که همانطور که از نامشان مشخص است فقط یک بار قابل استفاده می باشند.

تصویر(1)

رمز عبور استاتیک رایج ترین روش احراز هویت با کمترین امنیت است. اگر "qwerty" رمز ورود همیشگی شما است، زمان تغییر آن فرا رسیده است.

چرا رمز عبور یکبار مصرف بی خطر است؟

این ویژگی با اطمینان از اینکه برای بار دوم نمی توان از همان نام کاربری و رمز عبور استفاده کرد، از برخی اشکال سرقت هویت جلوگیری می کند. به طور معمول نام ورود کاربران ثابت می ماند و رمز ورود با هر بار ورود تغییر می کند. گذرواژه های یکبار مصرف نوعی احراز هویت قوی هستند و از بانکداری الکترونیکی، شبکه های شرکتی و سایر سیستمهای حاوی داده های حساس محافظت می کنند. احراز هویت به این سوال پاسخ می دهد: "آیا شما واقعاً آقا یا خانم X هستید؟"

امروزه اکثر شبکه های سازمانی، سایت های تجارت الکترونیکی و انجمن های آنلاین، برای ورود به سیستم و دسترسی به داده های شخصی و حساس به نام کاربری و رمز عبور ثابت نیاز دارند.

OTP در مقابل رمز عبور استاتیک

اگرچه روش احراز هویت با کمک رمز عبور استاتیک مناسب است، اما ایمن نیست زیرا سرقت هویت آنلاین با استفاده از فیشینگ، ورود به سیستم صفحه کلید، حملات man-in-the-middle و سایر اقدامات دزدی در سراسر جهان در حال افزایش است.

سیستم های احراز هویت قوی با درج یک اعتبار امنیتی، به عنوان مثال، یک گذرواژه یکبار مصرف موقت (OTP)، برای محافظت از دسترسی به شبکه و هویت های دیجیتالی کاربران، به محدود نمودن رمزهای عبور استاتیک می پردازند. این روش یک سطح حفاظت مضاعف اضافه می کند و دستیابی به اطلاعات غیر مجاز، شبکه ها یا حساب های آنلاین را با چالش بیشتری مواجه می کند. گذرواژه یکبار مصرف مبتنی بر زمان (TOTP)، پس از یک دوره تنظیم شده مثلاً 60 ثانیه تغییر می کند.

چگونه گذرواژه های یکبار مصرف ایجاد می شوند؟

گذرواژه های یکبار مصرف از چند طریق قابل تولید هستند و هر یک از نظر امنیت، راحتی، هزینه و دقت با هم تفاوت دارند.

  • کارتهای حافظه

روش های ساده مانند سیستم کارت حافظه های قدیمی سوراخ دار، مجموعه ای از رمزهای عبور یکبار مصرف را به وسیله ریز پردازنده ای که بر روی آن موجود بود، ارائه می دادند. این روش ها هزینه های سرمایه گذاری پایینی دارند اما کند هستند، نگهداری آنها دشوار بوده اما تکثیر و به اشتراک گذاری آنها آسان است و کاربران را ملزم به پیگیری مکان قرارگیری آنها در لیست گذرواژه ها می کند.

تصویر(2)

  • رمزهای امنیتی

یک روش راحت تر برای کاربران استفاده از رمز امنیتی OTP است که توسط یک دستگاه سخت افزاری با قابلیت تولید رمزهای عبور یکبار مصرف ایجاد می شود. برخی از این دستگاه ها از PIN پشتیبانی می کنند و سطح امنیتی بیشتری را ارائه می دهند. کاربر رمز ورود یکبار مصرف را با سایر شناسنامه های هویتی (به طور معمول نام کاربر) وارد می کند و یک سرور احراز هویت درخواست ورود را تایید می کند. اگرچه این یک راه حل اثبات شده برای برنامه های سازمانی است، اما هزینه استقرار می تواند این روش را برای مصرف کننده گران کند. از آنجا که توکن باید از همان سرور استفاده کند، برای ورود به سیستم سرور یک رمز جداگانه مورد نیاز است، بنابراین کاربران برای هر وب سایت یا شبکه ای که استفاده می کنند به یک رمز متفاوت نیاز دارند.

معرفی کارت های هوشمند OTP

رمزهای سخت افزاری پیشرفته، بیشتر از کارت های هوشمند مبتنی بر ریزپردازنده برای احراز هویت استفاده می شوند. کارت های هوشمند دارای چندین مزیت برای احراز هویت قوی هستند، از جمله  آنها می توان به ظرفیت ذخیره سازی داده ها، قدرت پردازش، قابلیت حمل و سهولت استفاده اشاره کرد. آنها از سایر رمزهای OTP ایمن تر هستند زیرا برای هر رویداد احراز هویت یک رمز عبور منحصر به فرد غیر قابل استفاده مجدد ایجاد می کنند، داده های شخصی را ذخیره می کنند و داده های محرمانه یا خصوصی را از طریق شبکه منتقل نمی کنند. کارتهای پرداخت حتی می توانند یک مولد OTP را برای احراز هویت 2 عاملی تولید کنند.

تصویر(3)

زیرساخت کلید عمومی برای تایید اعتبار OTP چیست؟

کارت های هوشمند می توانند شامل قابلیت های احراز هویت قوی اضافی مانند PKI یا گواهینامه های کلید عمومی باشند. هنگامی از برنامه های PKI استفاده می شود، دستگاه کارت هوشمند می تواند خدمات اصلی PKI، از جمله رمزگذاری، امضای دیجیتال و تولید و ذخیره سازی کلید خصوصی را ارائه دهد. کارت های هوشمند Thales از احراز هویت قوی OTP در هر دو محیط Java ™ و Microsoft .NET پشتیبانی می کنند. همه دستگاه های OTP Thales با همان سرور تأیید اعتبار قوی کار می کنند و با مجموعه استانداردی از ابزارهای مدیریتی پشتیبانی می شوند.

آشنایی با انواع احراز هویت ها:

احراز هویت تک عاملی (SFA)

احراز هویت تک عاملی، فرآیند امنیتی سنتی است که قبل از اعطای دسترسی به کاربر، به نام کاربری و رمز عبور نیاز دارد.

احراز هویت دو عاملی (2FA)

احراز هویت قوی تر با نوع دو عاملی (2FA) یا احراز هویت چند عاملی نیز قابل پیاده سازی است. در این موارد، کاربر دو (یا بیشتر) فاکتور احراز هویت متفاوت را ارائه می دهد. در دستگاه خودپرداز، شما به کارت خود و یک کد پین نیاز خواهید داشت.

امروز، آیین نامه PSD2 اروپا درخواست احراز هویت بیشتری را از بانک ها و موسسات مالی دارد. 

تصویر(4)

مزیت استفاده از خدمات پیام کوتاه انبوه OTP

  • تامین امنیت پرداخت و تایید معاملات

استفاده از OTP SMS برای اطمینان از پرداخت یا تایید تراکنش ها، امکان برقراری ارتباط در زمان واقعی را فراهم می کند و می تواند به طور قابل توجهی تقلب در تراکنش ها را کاهش دهد. احراز هویت کاربران از طریق تایید تلفن همراه در کاهش فعالیت های مشکوک بسیار موثر است. به طوری که امروزه بسیاری از برنامه های پرداخت و تجارت الکترونیکی، وب سایت های نیاز به تایید اعتبار، معاملات و غیره نیاز به رمز عبور یکبار مصرف (OTP) ارسال شده از طریق پیام کوتاه دارند.

  • چندین دستگاه را با یک حساب محافظت کنید

شما می توانید از خدمات پیامک انبوه OTP برای تایید امنیت چندین دستگاه در یک حساب استفاده کنید. لذا در صورت تایید این اطمینان را می دهد که همه دستگاه های شما ایمن هستند و به حساب دلخواه شما متصل می شوند و همچنین باعث افزایش امنیت دستگاه ها و حساب شما می شود.

  • مسدود کردن هرزنامه ها و ربات های مشابه فرم های Captcha

CAPTCHA نوعی آزمون پرسش - پاسخ است که برای تعیین انسان بودن یا عدم استفاده ربات، به کار گرفته می شود. یک سرویس پیام کوتاه OTP می تواند کمک کرده و روشی  باشد برای تأیید اینکه آیا کاربر تلاش می کند به حساب کاربری دسترسی پیدا کند یا این ربات است که درخواست ارسال کرده است؟

  • ایمن سازی اسناد آنلاین با اطلاعات حساس مانند فیش حقوقی، اسناد پزشکی، اسناد حقوقی

پیام کوتاه OTP یکی از بهترین روشهای حفاظت از اطلاعات حساس و خصوصی است. این روش، یک تأیید و آزمایش امنیتی است که چه کسی به این نوع اطلاعات دسترسی پیدا می کند. همچنین اطمینان حاصل می کند که یک فرد حقیقی قابل اطمینان درخواست دسترسی به چنین اطلاعاتی را دارد یا خیر.

  • احراز هویت Dropbox

بسیاری از خرده فروشان آنلاین و شرکت های توزیع آنلاین از جعبه های فیزیکی استفاده می کنند که کاربران می توانند با وارد کردن شماره سفارش و شماره تلفن همراه خود، به بسته خود دسترسی پیدا کنند. در این روش تایید از طریق پیامک OTP قفل دراپ باکس را باز میکند و آنها با خیال راحت سفارشات خود را دریافت می نمایند. این کار باعث کاهش زمان تحویل و بهبود کارایی می شود.

  • تنظیم مجدد رمزهای عبور

هنگامی که یک کاربر از یک دستگاه ناشناخته یا جایگزین، به یک برنامه یا وب سایت وارد می شود (یعنی با آدرس IP متفاوت از آدرس ثبت شده در نمایه خود) و درخواست بازنشانی گذرواژه دارد، ارسال پیام کوتاه OTP برای تایید هویت کاربر می تواند به کاهش سرقت هویت کمک نماید.

  • فعال کردن مجدد کاربران

وقتی کاربر یک برنامه یا وب سایت، پس از مدتها قصد ورود به سیستم را دارد، پیام کوتاه OTP می تواند به شما اطمینان دهد که کاربر شما واقعی است و یک هکر یا هرزنامه نیست.

اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

captcha