Vienkartinis slaptažodis yra kodas, kurį galima naudoti tik vieną kartą norint pasiekti paslaugą. Norint vėl prisijungti, reikia sugeneruoti naują vienkartinį slaptažodį. Vienkartinį slaptažodį galima sugeneruoti įvairiomis priemonėmis, pavyzdžiui, mobiliąja programėle, fizinės saugos žetonu, SMS žinute ir kt. Šie žetonai paprastai galioja trumpą laiką, kol jie atnaujinami ir pakeičiami nauju.
Technipages paaiškina vienkartinį slaptažodį
Reikalaujant vienkartinio slaptažodžio kaip antrojo veiksnio, saugumas sustiprinamas dviem būdais: Pirma, užpuolikas dabar turi žinoti ir slaptažodį, ir turėti prieigą prie teisingo vienkartinio slaptažodžio. Antra, jei užpuolikas sugeba įvykdyti žmogaus viduryje ataką ir sukompromituoti slaptažodį bei vienkartinį slaptažodį, vienkartinis slaptažodis negalios antrą kartą naudojant kartojimo ataką.
Vienkartinio slaptažodžio sistemos yra palyginti pigios ir paprastai nemokamos galutiniam vartotojui, priklausomai nuo produkto, nors įmonės gali mokėti už darbuotojų licencijas. Paslaugos, kuriose naudojama mobilioji programa arba SMS, vartotojams paprastai yra nemokamos, o paslaugos su fiziniu saugos raktu, pvz., RSA prieigos raktu, yra susijusios su mokesčiais.
SMS naudojimas kaip antras veiksnys dviejų veiksnių patvirtinimo procese, suteikiant vienkartinį prieigos kodą, turi a maža rizika, nes yra būdų, kaip užpuolikas gali perimti ir panaudoti pranešimus, nors šios atakos yra gana didelės kompleksas. Saugumo bendruomenė paprastai pataria, kad SMS yra geriau nei nenaudoti antrojo veiksnio vienkartinio slaptažodžio, tačiau kitos platformos paprastai yra saugesnės ir turėtų būti teikiama pirmenybė.
Įprasti vienkartinio slaptažodžio naudojimo būdai
- Aparatinės įrangos saugos prieigos raktai paprastai įdiegia sinchronizuotą vienkartinį slaptažodį
- Kai kurie bankai naujiems savo internetinės bankininkystės sistemų vartotojams siunčia atspausdintą vienkartinį slaptažodį.
- Dažniausiai vienkartiniai slaptažodžiai yra dviejų veiksnių autentifikavimo sistemos dalis.
Dažnas piktnaudžiavimas vienkartiniu slaptažodžiu
- Vienkartiniai slaptažodžiai naudojami tik išmestoms paskyroms.