Еднократната парола е код, който може да се използва само веднъж за получаване на достъп до услуга, трябва да се генерира нова еднократна парола, за да можете да влезете отново. Еднократната парола може да бъде генерирана чрез различни средства като мобилно приложение, физически токен за сигурност, SMS и др. Тези токени обикновено са валидни за кратък период от време, преди да бъдат обновени и заменени с нов токен.
Technipages обяснява еднократна парола
Чрез изискването на еднократна парола като втори фактор, сигурността се засилва по два начина: Първо, нападателят вече трябва да знае както паролата, така и да има достъп до правилната еднократна парола. Второ, ако нападателят е в състояние да извърши атака на човек в средата и да компрометира паролата и еднократната парола, еднократната парола няма да бъде валидна за втора употреба при атака с повторно възпроизвеждане.
Системите за еднократна парола са сравнително евтини и като цяло безплатни за крайния потребител в зависимост от продукта, въпреки че предприятията може да плащат за лицензи за служители. Услугите, които използват мобилно приложение или SMS, обикновено са безплатни за потребителите, услугите с физически токен за сигурност като RSA токена имат свързани разходи.
Използването на SMS като втори фактор в процеса на двуфакторна проверка, предоставящ еднократна парола, носи а малък риск, тъй като има начини съобщенията да бъдат прихванати и използвани от нападател, въпреки че тези атаки са доста комплекс. Общността за сигурност обикновено съветва, че SMS е по-добре, отколкото да не се използва втори фактор за еднократна парола, но че другите платформи като цяло са по-сигурни и трябва да бъдат предпочитани.
Често срещани употреби на еднократна парола
- Хардуерните токени за сигурност обикновено прилагат синхронизирана по време еднократна парола
- Някои банки изпращат отпечатана еднократна парола на нови потребители на техните системи за онлайн банкиране.
- По-често еднократните пароли са част от двуфакторна система за удостоверяване.
Често срещани злоупотреби с еднократна парола
- Еднократните пароли се използват само за акаунти за изхвърляне.