סיסמה חד פעמית היא קוד שניתן להשתמש בו רק פעם אחת כדי לקבל גישה לשירות, יש ליצור סיסמה חד פעמית חדשה כדי שניתן יהיה להיכנס שוב. ניתן להפיק את הסיסמה החד-פעמית במגוון אמצעים כגון אפליקציה לנייד, אסימון אבטחה פיזי, הודעת SMS ועוד. אסימונים אלה תקפים בדרך כלל לפרק זמן קצר לפני רענון והחלפתם באסימון חדש.
Technipages מסביר סיסמה חד פעמית
על ידי דרישת סיסמה חד פעמית כגורם שני, האבטחה מתחזקת בשתי דרכים: ראשית, התוקף צריך כעת לדעת גם את הסיסמה וגם לקבל גישה לסיסמה החד פעמית הנכונה. שנית, אם התוקף מסוגל לבצע התקפה של גבר באמצע ולהתפשר על הסיסמה והסיסמה החד-פעמית, הסיסמה החד-פעמית לא תהיה תקפה לשימוש שני בהתקפה חוזרת.
מערכות סיסמאות חד פעמיות הן זולות יחסית ובדרך כלל בחינם עבור משתמש הקצה בהתאם למוצר, אם כי עסקים עשויים לשלם עבור רישיונות עובדים. שירותים המשתמשים באפליקציה לנייד או ב-SMS הם בדרך כלל בחינם למשתמשים, לשירותים עם אסימון אבטחה פיזי כמו אסימון RSA יש עלות קשורה.
השימוש ב-SMS כגורם השני בתהליך האימות הדו-גורמי במתן קוד הסיסמה החד-פעמי אכן נושא א סיכון קטן שכן יש דרכים ליירט הודעות ולהשתמש בהן על ידי תוקף למרות שההתקפות הללו די מורכב. קהילת האבטחה מייעצת בדרך כלל ש-SMS עדיף מאשר לא להשתמש בקוד סיסמה חד פעמי של גורם שני, אבל שבדרך כלל פלטפורמות אחרות מאובטחות יותר ויש להעדיף.
שימושים נפוצים בסיסמה חד פעמית
- אסימוני אבטחת חומרה מיישמים בדרך כלל סיסמה חד-פעמית מסונכרנת בזמן
- חלק מהבנקים שולחים סיסמה חד פעמית מודפסת למשתמשים חדשים במערכות הבנקאות המקוונות שלהם.
- לא פעם, סיסמאות חד פעמיות הן חלק ממערכת אימות דו-גורמי.
שימוש לרעה נפוצ בסיסמה חד פעמית
- סיסמאות חד פעמיות משמשות רק לחשבונות זרוקים.