Одноразовые пароли

Одноразовые пароли.

Содержание

1 Общая информация

  • Наличие только обычных паролей зачастую недостаточно.
  • Рекомендуется использование двуфакторной аутентификации (2FA).
  • Более высокий уровень защиты может обеспечить применение одноразового пароля.

2 Создание одноразовые пароли

  • Алгоритмы генерации одноразовых паролей
    • HOTP — по событию.
      • HMAC-based
      • RFC4226 https://www.ietf.org/rfc/rfc4226.txt
      • Сервер и ОТР токен ведут учет количества процедур аутентификации, проходимых пользователем, а потом, используя в расчетах это число, генерируют пароль.
      • Проблему может вызвать несовпадение в подсчетах между сервером и токеном.
      • Такая ситуация возможна, например, если пользователь неоднократно нажимает кнопку устройства для генерации паролей и не использует этот пароль в дальнейшем.
    • TOTP — по времени.
      • Time-based
      • RFC6238 https://www.ietf.org/rfc/rfc6238.txt
      • При использовании этого алгоритма пароль создаётся, учитывая показания внутренних часов токена.
      • ТОТР удобен тем, что время действия пароля ограничено, он не может быть создан заранее или использован после истечения срока.
    • OCRA — запрос/ответ.
      • Происходит взаимная аутентификация пользователя и сервера.
      • В отличие от других алгоритмов, он использует в качестве входных данных случайное значение, выданное сервером.
  • При использовании TOTP и OCRA алгоритмов формируются временные пароли, которые значительно усложняют процесс взлома.

3 TOTP

  • Является улучшением HOTP (HMAC-Based One-Time Password Algorithm).
  • В качестве значения счетчика подставляется величина, зависящая от времени.
  • Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента. Главное отличие TOTP от HOTP — это генерация пароля на основе времени (время является параметром).
  • При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (обычно — 30 секунд).

4 Угрозы и риски при использовании one time password

  • Пароль перехвачен.
    • Человек посередине.
    • Хакер, перехватив пароль от его имени авторизуется в системе.
    • Чтобы этого избежать, можно включить в 2FA метод подписи данных (CWYS), позволяющий учитывать при аутентификации не только пароль, но и некоторые другие параметры конкретной транзакции.
  • Утрата токена.
    • Стоит заранее предусмотреть обязательное применение PIN-кода при работе с устройством.
  • Попытка подбора PIN-кода.
    • Настройка, при которой генератор токенов будет заблокирован при неоднократном вводе неверного PIN.
  • Взлом программного токена.
    • Хакер может скопировать программу-токен и попытаться найти хранящийся там секретный ключ, используемый для генерирования ОТР.
    • Методом защиты является использование PIN-кода как одного из значений при расчёте одноразового пароля.
  • Злодей среди своих.
    • Злоумышленник и персона, которая занимается выпуском средств two factor autentication — одно и то же лицо.
    • Такой человек может создать дубликаты программных средств аутентификации и с их помощью войти в систему под видом легального пользователя.
    • Чтобы предотвратить подобное, в процессе активации программного токена должен принимать участие сам пользователь.

Дмитрий Сергеевич Кулябов
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности

Мои научные интересы включают физику, администрирование Unix и сетей.

Похожие