رمز یک بار مصرف یا OTP چیست؟

رمز یکبار مصرف (OTP) یک رشته عددی یا کاراکتر است که به صورت خودکار تولید می شود و کاربر را برای یک معامله یا سشن ورود به سیستم احراز هویت می کند.

امنیت OTP نسبت به رمز ورود ثابت ، به خصوص رمز ورود ایجاد شده توسط خود کاربران ، که می تواند ضعیف باشد و یا در چندین حساب مختلف مورد استفاده قرار گیرد ،بیشتر است. OTP ها ممکن است جایگزین اطلاعات ورود به سیستم احراز هویت شوند یا علاوه بر آن می توانند برای افزودن لایه امنیتی دیگر استفاده شوند.

نمونه هایی از رمز یکبار مصرف

رمزهای امنیتی OTP کارتهای هوشمند مبتنی بر ریز پردازنده یا کلیدهای اندازه جیبی هستند که برای تأیید اعتبار دسترسی به سیستم یا معامله ، یک کد عددی یا الفبا عددی تولید می کنند. این کد مخفی بسته به نحوه پیکربندی رمز هر 30 یا 60 ثانیه تغییر می کند. برنامه های دستگاه همراه مانند Google Authenticator برای ایجاد رمز ورود یکبار مصرف برای تأیید دو مرحله ای ، به دستگاه رمز و پین متکی هستند. رمزهای امنیتی OTP را می توان با استفاده از سخت افزار ، نرم افزار یا در صورت درخواست اجرا کرد. برخلاف رمزهای عبور سنتی که ثابت می مانند یا هر 30 تا 60 روز منقضی می شوند ، رمز یک بار مصرف برای یک سشن ورود به سیستم استفاده می شود.

رمز یک بار مصرف

چگونه رمزعبور یک بار مصرف بگیریم

وقتی کاربر غیرمجاز سعی در دسترسی به سیستم یا انجام معامله در دستگاه را دارد ، یک مدیر احراز هویت در سرور شبکه با استفاده از الگوریتم های رمزعبور یک بار ، یک شماره یا راز مشترک ایجاد می کند. رمز و یا رمز عبور یکبار مصرف کاربر توسط رمز امنیتی یا کارت هوشمند از همان شماره و الگوریتم استفاده می کند.

بسیاری از شرکت ها از سرویس پیام کوتاه (SMS) برای تهیه رمز عبور موقتی از طریق متن برای عامل دوم تأیید استفاده می کنند. پس از ورود کاربر نام کاربری و گذرواژه خود در سیستمهای اطلاعاتی شبکه ای و برنامه های وب معامله محور ، رمز عبور موقت از باند خارج می شود.

برای احراز هویت دو عاملی (2FA) ، کاربر شناسه کاربری ، گذرواژه سنتی و رمز عبور موقتی خود را برای دسترسی به حساب یا سیستم وارد می کند.

نحوه کار با رمز یکبار مصرف

در روش های احراز هویت مبتنی بر OTP ، برنامه OTP کاربر و سرور احراز هویت به اسرار مشترک اعتماد می کنند. مقادیر گذرواژه های یکبار مصرف با استفاده از الگوریتم کد تأیید پیام هاشده (HMAC) و یک عامل متحرک ، مانند اطلاعات مبتنی بر زمان (TOTP) یا یک شمارنده رویداد (HOTP) ایجاد می شوند. مقادیر OTP برای امنیت بیشتر دارای مهر زمان دوم یا دقیقه هستند. گذرواژه یکبار مصرف را می توان از طریق چندین کانال به کاربر ارسال کرد ، از جمله پیام متنی مبتنی بر پیام کوتاه ، ایمیل یا برنامه اختصاصی در نقطه پایانی.

مدت هاست که متخصصان امنیتی نگران این موضوع هستند که می توانند از طریق جعل پیام کوتاه و حملات MITM برای شکستن سیستم های 2FA که به رمزهای عبور یک بار اعتماد دارند ، استفاده کنند. با این حال ، انستیتوی استاندارد و فناوری ملی ایالات متحده (NIST) اعلام کرد قصد دارد استفاده از پیام کوتاه برای رمزهای عبور 2FA و یکبار مصرف را منسوخ کند ، زیرا این روش در برابر حملات مختلف آسیب پذیر است که می تواند آن رمزها و رمزها را به خطر بیاندازد. در نتیجه ، شرکتهایی که به استفاده از گذرواژههای یکبار مصرف فکر می کنند باید علاوه بر پیامک ، سایر روشهای تحویل را نیز جستجو کنند.

مزایای رمز یکبار مصرف

رمز عبور یکبار مصرف از مشکلات مشترکی که مدیران فناوری اطلاعات و مدیران امنیتی با امنیت رمز عبور روبرو هستند جلوگیری می کند. آنها لازم نیست نگران قوانین ترکیب ، رمزهای عبور بد و ضعیف ، اشتراک اطلاعات کاربری یا استفاده مجدد از رمز عبور مشابه در چندین حساب و سیستم باشند. یکی دیگر از مزایای رمزهای یکبار مصرف این است که گذرواژه ها در عرض چند دقیقه باطل می شوند و این امر باعث نمی شود مهاجمین کدهای مخفی را به دست آورند و از آنها دوباره استفاده کنند.