Одноразовый пароль - это код, который можно использовать только один раз для получения доступа к услуге. Для повторного входа необходимо создать новый одноразовый пароль. Одноразовый пароль можно сгенерировать с помощью различных средств, таких как мобильное приложение, физический токен безопасности, SMS и т. Д. Эти токены обычно действительны в течение короткого периода времени, прежде чем будут обновлены и заменены новым токеном.
Technipages объясняет одноразовый пароль
Требование одноразового пароля в качестве второго фактора повышает безопасность двумя способами: во-первых, злоумышленник теперь должен знать как пароль, так и иметь доступ к правильному одноразовому паролю. Во-вторых, если злоумышленник сможет провести атаку посредника и скомпрометировать пароль и одноразовый пароль, одноразовый пароль не будет действителен для повторного использования в атаке с повторением.
Системы одноразовых паролей относительно дешевы и обычно бесплатны для конечного пользователя в зависимости от продукта, хотя предприятия могут платить за лицензии сотрудников. Услуги, которые используют мобильное приложение или SMS, обычно бесплатны для пользователей, услуги с физическим токеном безопасности, такие как токен RSA, имеют соответствующую стоимость.
Использование SMS в качестве второго фактора в процессе двухфакторной проверки, обеспечивающего одноразовый пароль, действительно несет небольшой риск, поскольку есть способы перехвата сообщений и использования злоумышленниками, хотя эти атаки довольно сложный. Сообщество по безопасности обычно советует, что SMS лучше, чем не использовать одноразовый пароль второго фактора, но что другие платформы, как правило, более безопасны и им следует отдавать предпочтение.
Распространенное использование одноразового пароля
- Аппаратные токены безопасности обычно реализуют синхронизированный по времени одноразовый пароль.
- Некоторые банки отправляют распечатанный одноразовый пароль новым пользователям своих систем онлайн-банкинга.
- Чаще всего одноразовые пароли являются частью системы двухфакторной аутентификации.
Распространенные злоупотребления одноразовым паролем
- Одноразовые пароли используются только для одноразовых учетных записей.