Een eenmalig wachtwoord is een code die slechts één keer kan worden gebruikt om toegang te krijgen tot een dienst, er moet een nieuw eenmalig wachtwoord worden gegenereerd om weer in te kunnen loggen. Het eenmalige wachtwoord kan op verschillende manieren worden gegenereerd, zoals een mobiele applicatie, een fysieke beveiligingstoken, een sms en meer. Deze tokens zijn normaal gesproken een korte tijd geldig voordat ze worden vernieuwd en vervangen door een nieuwe token.
Technipages legt eenmalig wachtwoord uit
Door een eenmalig wachtwoord als tweede factor te vereisen, wordt de beveiliging op twee manieren versterkt: Ten eerste moet een aanvaller nu zowel het wachtwoord kennen als toegang hebben tot het juiste eenmalige wachtwoord. Ten tweede, als de aanvaller in staat is om een man-in-the-middle-aanval uit te voeren en het wachtwoord en het eenmalige wachtwoord te compromitteren, is het eenmalige wachtwoord niet geldig voor een tweede gebruik in een replay-aanval.
Eenmalige wachtwoordsystemen zijn relatief goedkoop en over het algemeen gratis voor de eindgebruiker, afhankelijk van het product, hoewel bedrijven kunnen betalen voor werknemerslicenties. Services die gebruikmaken van een mobiele applicatie of sms zijn normaal gesproken gratis voor gebruikers, services met een fysieke beveiligingstoken zoals de RSA-token brengen wel kosten met zich mee.
Het gebruik van sms als de tweede factor in het twee-factor-verificatieproces, op voorwaarde dat de eenmalige toegangscode een klein risico omdat er manieren zijn om berichten te onderscheppen en te gebruiken door een aanvaller, hoewel deze aanvallen behoorlijk zijn complex. De beveiligingsgemeenschap adviseert over het algemeen dat sms beter is dan het niet gebruiken van een eenmalige toegangscode met een tweede factor, maar dat andere platforms over het algemeen veiliger zijn en de voorkeur verdienen.
Veelvoorkomend gebruik van eenmalig wachtwoord
- Hardwarebeveiligingstokens implementeren over het algemeen een in de tijd gesynchroniseerd eenmalig wachtwoord
- Sommige banken sturen een afgedrukt eenmalig wachtwoord naar nieuwe gebruikers van hun online banksysteem.
- Vaker wel dan niet, maken eenmalige wachtwoorden deel uit van een tweefactorauthenticatiesysteem.
Veelvoorkomend misbruik van eenmalig wachtwoord
- Eenmalige wachtwoorden worden alleen gebruikt voor wegwerpaccounts.