Одноразовий пароль – це код, який можна використати лише один раз, щоб отримати доступ до служби. Для повторного входу потрібно створити новий одноразовий пароль. Одноразовий пароль можна згенерувати різними способами, такими як мобільний додаток, фізичний маркер безпеки, SMS тощо. Ці маркери зазвичай дійсні протягом короткого періоду часу, перш ніж їх оновити та замінити новим маркером.
Technipages пояснює одноразовий пароль
Вимагаючи одноразового пароля як другого фактора, безпека посилюється двома способами: по-перше, зловмисник тепер повинен знати як пароль, так і мати доступ до правильного одноразового пароля. По-друге, якщо зловмиснику вдасться здійснити атаку «человік у середині» і зламати пароль і одноразовий пароль, одноразовий пароль не буде дійсним для повторного використання під час повторної атаки.
Системи одноразових паролів відносно дешеві та, як правило, безкоштовні для кінцевого користувача залежно від продукту, хоча підприємства можуть платити за ліцензії співробітників. Послуги, які використовують мобільний додаток або SMS, зазвичай безкоштовні для користувачів, послуги з маркером фізичної безпеки, як-от токен RSA, мають пов’язану вартість.
Використання SMS як другого фактора в процесі двофакторної верифікації, що надає одноразовий пароль, має значення a невеликий ризик, оскільки є способи перехоплення та використання зловмисником повідомлень, хоча ці атаки досить складний. Спільнота безпеки зазвичай радить, що SMS краще, ніж не використовувати одноразовий пароль другого фактора, але що інші платформи, як правило, більш безпечні, і їм слід віддавати перевагу.
Поширене використання одноразового пароля
- Апаратні маркери безпеки зазвичай реалізують синхронізований за часом одноразовий пароль
- Деякі банки надсилають надрукований одноразовий пароль новим користувачам своїх систем онлайн-банкінгу.
- Найчастіше одноразові паролі є частиною двофакторної системи аутентифікації.
Поширені випадки неправильного використання одноразового пароля
- Одноразові паролі використовуються лише для одноразових облікових записів.