OTP ในการรักษาความปลอดภัยคอมพิวเตอร์คืออะไร?

OTP ตัวย่อใช้เพื่ออ้างถึงสองสิ่งที่แตกต่างกันในความปลอดภัยของคอมพิวเตอร์ ความหมายที่เก่ากว่าคือ “One Time Pad” ในบริบทสมัยใหม่มักจะหมายถึง “One Time Password/Passcode/PIN” ดังที่คุณอาจเดาได้จากการใช้คำว่า "ครั้งเดียว" ที่ใช้ร่วมกัน มีความคล้ายคลึงกันบางประการ

One Time Pad – พื้นฐาน

One Time Pad เป็นวิธีการเข้ารหัส ในทางทฤษฎี มีความปลอดภัยอย่างสมบูรณ์และไม่สามารถถอดรหัสได้ ไม่ได้ใช้กันอย่างแพร่หลายเนื่องจากมีข้อ จำกัด และข้อกำหนดหลายประการที่ขัดขวางความมีชีวิตในทางปฏิบัติอย่างจริงจัง ประเด็นแรกคือแพดต้องการให้คีย์เข้ารหัสบนแพดเป็นแบบสุ่มจริงๆ แม้แต่ตัวสร้างตัวเลขสุ่มหลอก PRNG ที่ใช้เพื่อวัตถุประสงค์ในการเข้ารหัสอื่นๆ ก็ยังสุ่มไม่เพียงพอที่จะรักษาความปลอดภัย ระดับของความสามารถในการคาดการณ์ในเนื้อหาสำคัญจะประนีประนอมกับหลักฐานความลับที่สมบูรณ์แบบ

กระบวนการสร้างคีย์ต้องปลอดภัยอย่างสมบูรณ์ นอกจากนี้ วิธีการสื่อสารของ One Time Pad จะต้องปลอดภัย จากนั้นทุกฝ่ายจะต้องจัดเก็บ One Time Pads อย่างปลอดภัยต่อไป กุญแจแบบใช้ครั้งเดียวที่ใช้แล้วจะต้องถูกกำจัดอย่างปลอดภัยด้วย One Time Pad ไม่มีกลไกการตรวจสอบสิทธิ์ใดๆ ผู้โจมตีที่รู้ข้อความธรรมดาและข้อความเข้ารหัสสามารถกู้คืนคีย์ได้ จากนั้นพวกเขาสามารถใช้สิ่งนั้นเพื่อสร้างไซเฟอร์เท็กซ์ที่แตกต่างกันได้ ตราบใดที่พวกเขารักษาข้อความให้มีขนาดเท่าเดิมหรือสั้นกว่านั้น สุดท้าย ข้อความที่ถูกเข้ารหัสสามารถมีความยาวได้เท่ากับคีย์ที่สร้างไว้ล่วงหน้าเท่านั้น

การใช้คำว่า "แพด" มาจากข้อเท็จจริงที่ว่าในกรณีการใช้งานส่วนใหญ่ มีการแจกจ่ายชุดคีย์แบบใช้ครั้งเดียวที่มีขนาดพอเหมาะ รูปแบบที่มีประโยชน์คือรูปแบบแผ่นจดบันทึกที่มีคีย์เฉพาะในแต่ละหน้า เมื่อจำเป็นต้องเข้ารหัสข้อความ เพจบนสุดจะถูกใช้ โดยทั่วไปแล้วเพจจะถูกลบและทำลายเพื่อป้องกันไม่ให้ถูกบุกรุกหรือใช้ซ้ำ

One Time Pad – ภาวะแทรกซ้อน

ในทางปฏิบัติ ข้อเท็จจริงที่ว่า One Time Pad จะต้องสร้าง สื่อสาร และจัดเก็บอย่างปลอดภัย เช่นเดียวกับความลับอื่นๆ ที่แชร์กัน ทำให้ยากต่อการใช้งาน ตัวอย่างเช่น One Time Pad มีความปลอดภัยเท่ากับวิธีการสื่อสารเท่านั้น หากคุณใช้ HTTPS ในการสื่อสารแพดอย่างปลอดภัย ฝ่ายตรงข้ามที่มีความสามารถในการทำลายการเข้ารหัส TLS นั้นเพื่อรับแพดก็จะไม่มีปัญหาในการถอดรหัสข้อความอีกต่อไป ด้วยเหตุนี้ แพดที่สื่อสารแบบดิจิทัลจึงไม่มีการรักษาความปลอดภัยเพิ่มเติมใดๆ เมื่อใช้วิธีการส่งทางกายภาพ เช่น Courier หรือ Dead Drop แผ่นจะปลอดภัยหรือไม่ก็ได้ สิ่งนี้ทำให้แผ่นทางกายภาพมีประโยชน์มากกว่าแผ่นดิจิทัล นอกจากนี้ One Time Pads ที่ทำงานบนคอมพิวเตอร์ยังยากต่อการลบอย่างปลอดภัยและเผชิญกับปัญหาการรักษาข้อมูล

หาก One Time Pad ถูกบุกรุก สามารถใช้เพื่อถอดรหัสข้อความที่ผ่านมาได้ เพื่อหลีกเลี่ยงปัญหานี้ โดยทั่วไปแล้วเพจจะถูกทำลายและมักถูกเผา สิ่งนี้จะป้องกันไม่ให้คีย์ถูกนำกลับมาใช้ใหม่หรือถูกค้นพบ สมมติว่าแพดถูกบุกรุกแต่มีการปฏิบัติตามแนวทางปฏิบัติในการทำลาย ข้อความในอดีตจะไม่สามารถถอดรหัสได้ อย่างไรก็ตาม ข้อความในอนาคตจะสามารถถอดรหัสได้

ในทางปฏิบัติ การเข้ารหัสสมัยใหม่โดยทั่วไปมีความปลอดภัยมากเกินพอ ข้อดีอย่างหนึ่งของ One Time Pad คือสามารถใช้ด้วยมือได้ การเข้ารหัสสมัยใหม่มีความซับซ้อนมากและต้องใช้คอมพิวเตอร์อย่างมีประสิทธิภาพ สิ่งนี้ทำให้ One Time Pads มีประโยชน์ในสภาพแวดล้อมของ spycraft เมื่อจำเป็นต้องส่งข้อความโดยไม่ต้องใช้อินเทอร์เน็ตหรือคอมพิวเตอร์ ในช่วงสงครามเย็น สายลับมักใช้ One Time Pads ที่พิมพ์บนกระดาษแฟลช ทำจากไนโตรเซลลูโลส หน้าที่ใช้แล้วสามารถเผาได้อย่างรวดเร็วโดยไม่ทำให้เกิดควัน

รหัสผ่านครั้งเดียว

รหัสผ่านครั้งเดียวเป็นสตริงลับที่สามารถใช้สำหรับการตรวจสอบสิทธิ์ จำเป็นต้องเป็นความลับ อย่างไรก็ตาม ไม่เหมือนกับ One Time Pad ตรงที่ไม่สามารถใช้เพื่อเข้ารหัสอะไรได้ และไม่มีข้อกำหนดการสุ่มเฉพาะ กรณีการใช้งานทั่วไปสำหรับ One Time Passwords คือการตรวจสอบสิทธิ์แบบสองปัจจัย ตัวอย่างเช่น แอปการตรวจสอบสิทธิ์แบบสองปัจจัยจะสร้างรหัสแบบใช้ครั้งเดียวตามเวลาและข้อมูลลับเพื่อยืนยันตัวตนของคุณ รหัสผ่านครั้งเดียวไม่จำเป็นต้องซ้ำกันด้วยซ้ำ รหัสสองปัจจัยมักจะเป็นตัวเลขหกหลัก การทำเช่นนี้เป็นการสุ่มที่เพียงพอที่จะทำให้ผู้โจมตีเดาได้ยากในเวลาที่เหมาะสม

บริษัทบางแห่ง เช่น ธนาคารอาจสร้างรายการรหัสผ่านแบบใช้ครั้งเดียวไว้ล่วงหน้า และส่งรหัสผ่านไปให้ลูกค้าเพื่อใช้กับธนาคารออนไลน์ รหัสผ่านแบบใช้ครั้งเดียวในกรณีนี้ไม่สามารถเหมือนกันได้ทุกคน แต่ไม่จำเป็นต้องซ้ำกัน 100% ในทุกกรณี

รหัสผ่านแบบใช้ครั้งเดียวอาจค่อนข้างเกะกะจากมุมมองประสบการณ์ของผู้ใช้ รหัสผ่านจำเป็นต้องส่งและจัดเก็บอย่างปลอดภัย หรือสร้างได้อย่างปลอดภัย ฟิชชิงก็มีความเสี่ยงเช่นกัน ในขณะที่รหัสผ่านแบบใช้ครั้งเดียวจะเพิ่มโอกาสอีกชั้นหนึ่งสำหรับผู้ใช้ที่จะไม่หลงกลฟิชชิ่ง ผู้ใช้ ที่ได้รับความไว้วางใจให้มอบชื่อผู้ใช้และรหัสผ่านแล้ว โดยทั่วไปก็จะมอบรหัสผ่านครั้งเดียวด้วย

บทสรุป

ในการรักษาความปลอดภัยคอมพิวเตอร์ OTP ย่อมาจาก One Time Pad หรือ One Time Password One Time Pad เป็นเทคนิคการเข้ารหัสที่ให้ความลับที่สมบูรณ์แบบ อย่างไรก็ตาม มีข้อกำหนดหลายประการที่ทำให้ไม่สะดวกในการใช้งานจริง และโดยทั่วไปแล้วเป็นเรื่องยากมากที่จะนำไปใช้อย่างถูกต้องบนคอมพิวเตอร์ สามารถใช้ One Time Pads ได้ด้วยมือ ทำให้มีประโยชน์สำหรับสายลับสมัยเก่า รหัสผ่านแบบใช้ครั้งเดียวคือสตริงลับที่สามารถใช้เพื่อเข้าสู่ระบบของคุณได้ พวกเขาสามารถทำงานควบคู่ไปกับหรือแทนรหัสผ่านแบบเดิมได้ การรับรองความถูกต้องด้วยสองปัจจัยเป็นตัวอย่างหนึ่งของการปรับใช้รหัสผ่านครั้งเดียว