Ett engångslösenord är en kod som endast kan användas en gång för att få tillgång till en tjänst, ett nytt engångslösenord behöver genereras för att kunna logga in igen. Engångslösenordet kan genereras på en mängd olika sätt såsom en mobilapplikation, en fysisk säkerhetstoken, ett SMS och mer. Dessa tokens är normalt giltiga under en kort tidsperiod innan de uppdateras och ersätts med en ny token.
Technipages förklarar engångslösenord
Genom att kräva ett engångslösenord som en andra faktor stärks säkerheten på två sätt: För det första måste en angripare nu känna till både lösenordet och ha tillgång till rätt engångslösenord. För det andra, om angriparen kan utföra en man i mittenattack och äventyra lösenordet och engångslösenordet, kommer engångslösenordet inte att vara giltigt för en andra användning i en reprisattack.
Engångslösenordssystem är relativt billiga och i allmänhet gratis för slutanvändaren beroende på produkt, även om företag kan betala för anställdas licenser. Tjänster som använder en mobilapplikation eller SMS är normalt gratis för användare, tjänster med en fysisk säkerhetstoken som RSA-token har en tillhörande kostnad.
Användningen av SMS som den andra faktorn i tvåfaktorsverifieringsprocessen, förutsatt engångslösenordet, har en liten risk eftersom det finns sätt för meddelanden att fångas upp och användas av en angripare även om dessa attacker är ganska komplex. Säkerhetsgemenskapen rekommenderar generellt att SMS är bättre än att inte använda ett engångslösenord för andra faktorn, men att andra plattformar i allmänhet är säkrare och bör föredras.
Vanlig användning av engångslösenord
- Säkerhetstokens för hårdvara implementerar i allmänhet ett tidssynkroniserat engångslösenord
- Vissa banker skickar ett utskrivet engångslösenord till nya användare av deras nätbankssystem.
- Oftare än inte är engångslösenord en del av ett tvåfaktorsautentiseringssystem.
Vanliga missbruk av engångslösenord
- Engångslösenord används endast för engångskonton.