Hasło jednorazowe to kod, którego można użyć tylko raz, aby uzyskać dostęp do usługi, należy wygenerować nowe hasło jednorazowe, aby móc ponownie się zalogować. Hasło jednorazowe można wygenerować za pomocą różnych środków, takich jak aplikacja mobilna, fizyczny token bezpieczeństwa, SMS i inne. Te tokeny są zwykle ważne przez krótki czas, zanim zostaną odświeżone i zastąpione nowym tokenem.
Technipages wyjaśnia hasło jednorazowe
Wymaganie hasła jednorazowego jako drugiego czynnika zwiększa bezpieczeństwo na dwa sposoby: po pierwsze, atakujący musi teraz znać zarówno hasło, jak i mieć dostęp do prawidłowego hasła jednorazowego. Po drugie, jeśli atakujący jest w stanie wykonać atak typu man in the middle i złamać hasło oraz hasło jednorazowe, hasło jednorazowe nie będzie ważne do ponownego użycia w ataku typu replay.
Systemy haseł jednorazowych są stosunkowo tanie i ogólnie bezpłatne dla użytkownika końcowego w zależności od produktu, chociaż firmy mogą płacić za licencje pracownicze. Usługi korzystające z aplikacji mobilnej lub wiadomości SMS są zwykle bezpłatne dla użytkowników, usługi z fizycznym tokenem zabezpieczającym, takim jak token RSA, wiążą się z powiązanymi kosztami.
Korzystanie z SMS-a jako drugiego czynnika w procesie weryfikacji dwuskładnikowej, pod warunkiem podania jednorazowego hasła, niesie ze sobą małe ryzyko, ponieważ istnieją sposoby na przechwycenie wiadomości i wykorzystanie ich przez atakującego, chociaż te ataki są dość złożony. Społeczność ds. bezpieczeństwa ogólnie zaleca, że SMS-y są lepsze niż nieużywanie jednorazowego kodu drugiego czynnika, ale inne platformy są ogólnie bardziej bezpieczne i powinny być preferowane.
Typowe zastosowania hasła jednorazowego
- Sprzętowe tokeny bezpieczeństwa zazwyczaj implementują jednorazowe hasło synchronizowane czasowo
- Niektóre banki wysyłają wydrukowane jednorazowe hasło do nowych użytkowników swoich systemów bankowości internetowej.
- Najczęściej hasła jednorazowe są częścią dwuskładnikowego systemu uwierzytelniania.
Częste nadużycia hasła jednorazowego
- Hasła jednorazowe są używane tylko do kont jednorazowych.