Et engangskodeord er en kode, der kun kan bruges én gang for at få adgang til en tjeneste, et nyt engangskodeord skal genereres for at kunne logge ind igen. Engangsadgangskoden kan genereres på en række forskellige måder, såsom en mobilapplikation, et fysisk sikkerhedstoken, en SMS og mere. Disse tokens er normalt gyldige i en kort periode, før de opdateres og erstattes med et nyt token.
Technipages forklarer engangsadgangskode
Ved at kræve et engangskodeord som en anden faktor, styrkes sikkerheden på to måder: For det første skal en angriber nu både kende adgangskoden og have adgang til den korrekte engangskodeord. For det andet, hvis angriberen er i stand til at udføre en mand i midten angreb og kompromittere adgangskoden og engangsadgangskoden, vil engangsadgangskoden ikke være gyldig til en anden brug i et gentagelsesangreb.
Engangskodeordssystemer er relativt billige og generelt gratis for slutbrugeren afhængigt af produktet, selvom virksomheder kan betale for medarbejderlicenser. Tjenester, der bruger en mobilapplikation eller SMS, er normalt gratis for brugere, tjenester med et fysisk sikkerhedstoken som RSA-tokenet har en tilhørende omkostning.
Brugen af SMS som den anden faktor i to-faktor verifikationsprocessen, forudsat at engangsadgangskoden har en lille risiko, da der er måder, hvorpå meddelelser kan opsnappes og bruges af en angriber, selvom disse angreb er ganske kompleks. Sikkerhedssamfundet råder generelt til, at SMS er bedre end ikke at bruge en anden faktor engangskode, men at andre platforme generelt er mere sikre og bør foretrækkes.
Almindelig brug af engangsadgangskode
- Hardwaresikkerhedstokens implementerer generelt en tidssynkroniseret engangsadgangskode
- Nogle banker sender et udskrevet engangskodeord til nye brugere af deres netbanksystemer.
- Oftere end ikke er engangsadgangskoder en del af et tofaktorautentificeringssystem.
Almindelig misbrug af engangskodeord
- Engangsadgangskoder bruges kun til kasserede konti.