جهت ورود به تالار گفتمان سایت کلیک کنید


درباره رمز یکبار مصرف (OTP)

دردنیای امروز با وجود طیف وسیعی از فن آوریها، فرآورده ها و محصولات، راه حل هایی متناسب برای ایمن سازی زیر ساختارهای الکترونیکی مؤسسات و سازمانها ارائه شده است. در مواردی که امنیت فیزیکی و دستیابی به آن مد نظر باشد، سطوح امنیتی مورد نظر نیز بایستی متناسب با سطح ترکیب و پیچیدگی سازمان و مؤسسه،‌ برنامه های کاربردی مورد استفاده، داده های موجود و اندازه گیری و سنجش خطرات و ریسکهای موجود گسترش یابد. اساسی ترین روش موجود جهت ایجاد امنیت الکترونیکی استفاده از رمز عبور میباشد که اغلب بعنوان یک شیوه رایج جهت دسترسی به منابع و داده های الکترونیکی بکار گرفته می شود.که در این میان استفاده از رمزهای عبور یک بار مصرف برای انجام تراکنش های بانکی به شدت احساس می شود تا ضریب امنیتی بالایی برای مشتریان و کاربران فراهم آورد و کاربران با آرامش و آسایش خاطر بیشتر مبادرت به انجام امور روزمره بانکی و تجاری نمایند.

درباره رمز یکبارمصرف (OTP)

مقدمه
با توجه به گستردگی تراکنش های بانکی و انجام حداکثری تراکنش ها در بستر اینترنت ،بانکداری الکترونیکی و افزایش مبادلات در این حوزه لزوم به کارگیری شیوه های مدرن در جهت بالابردن امنیت این نوع تراکنش ها با استفاده ازرمزهای یکبار مصرف مقرون به صرفه می نماید.. رمز یک بار مصرف یا OTP – One Time Password یک جایگزین برای رمز دوم می باشد رمز یکبار مصرف برای ایمن سازی دسترسی کاربران به سیستم های الکترونیکی ارائه شده که در آن از قابلیت های رمز نگاری برای تولید رمز تصادفی یک بار مصرف استفاده می شود. برای اینکه کاربران استفاده کننده از خدمات بانکداری اینترنتی امکان جابجایی مبالغ بالاتر و ایمن را داشته باشند.

OTP چیست؟
OTP و یا One Time Password یک روش محافظت از اطلاعات برای جلوگیری از سرقت رمز عبور می باشد که رمز عبور با استفاده از روش های رمز نگاری تولید می گردد و تنها برای یک بار ورود به سیستم معتبر است ، مهمترین مزیت استفاده از OTP و یا رمز یک بار مصرف این است، که سرقت اطلاعات با دانستن رمز عبور غیر ممکن می گردد.

تکنولوژی OTP
تکنولوژی OTP جهت انجام تراکنش های امن بانکی در حوزه Web کاربرد دارد بر اساس کارت و یا ابزاری که توسط بانک به مشتری داده می شود، برای انجام هر تراکنشی یک رمز تولید می شود که تنها برای یک بار اعتبار دارد. در این تکنولوژی رمز یکبار مصرف بر اساس الگوریتم تعریف شده در ابزار کاربر و در سرور مرتبط تولید می شود و دارای انواع مختلفی نظیرresponse challenge, time- base و غیره می باشد. امنیت OTP به دلیل استفاده از امکانات استاندارد رمزنگاری ، بسیار بالا می باشد.

برنامه نویسان هر اندازه که نکات امنیتی را در برنامه نویسی و سمت سرور لحاظ کند، روی امنیت سمت کلاینت (کاربر) تسلط و کنترل کاملی ندارد. چون مرورگر دسترسی‌های محدودی به آنها می‌دهد.

از ضعف‌های سمت کاربر که می‌تواند موجب بدست آوردن پسورد کاربران (مدیران) سایت شود، برنامه های کی‌لاگرهستند که کی لاگر ها ممکن است به دو صورت سخت افزاری و نرم افزاری به کار برده شوند.

key logger ها، همه کلیدهای فشرده شده روی کیبورد را ذخیره و به سازنده آن کی‌لاگر ارسال می‌کنند.
روش‌هایی برای مقابله با این خطر وجود دارد که استفاده از کیبورد مجازی یکی از روش‌های آن است. در حال حاضر نیز در صفحه پرداخت اینترنتی بسیاری از بانک‌ها قابل استفاده می باشد.اما با روش های نوین جاسوسی و با استفاده ازعکس برداری از صفحه نمایش وهمزمان با کلیک کاربر اقدام به ثبت مختصات مورد نظر می نمایند که این روش نیز نوعی امنیت کیبورد های مجازی را به چالش می کشد.

از این رو بهترین راه مقابله با کی‌لاگرها، استفاده پسورد یکبار مصرف است که از روشی غیر از کامپیوتر فعلی کاربر، به دستش برسد. در این حالت، کی‌لاگری که پسوردها را ذخیره و به سازنده‌اش ارسال می‌کند، بی‌اثر می‌شود چون پسورد ذخیره شده توسط کی‌لاگر، فقط یکبار معتبر بوده است و تنها یکبار میتوان از ان استفاده نمود.
پسورد یکبار مصرف تولید شده، نباید توسط کامپیوتر کاربر (یا حتی وسیله دیگری با همان خط اینترنت) به دست کاربر برسد زیرا در این‌صورت؛ علاوه بر کاربر، برنامه جاسوس نیز می‌تواند به آن دست یابد.

نحوه تولید رمز عبور OTP
رمز عبور با استفاده از الگوریتمهای ریاضی و به صورت تصادفی تولید می گردد، در واقع همین روش تولید باعث می گردد که حدس رمز عبور برای انسان غیر ممکن گردد روش های متعددی برای تولید رمز وجود دارند .با استفاده از زمان، رمز عبور فقط برای زمان کوتاهی برای اعتبار سنجی معتبر است این روش با استفاده از معادل سازی زمان تولید کننده رمز و استفاده کننده آن عمل می کند.

بر اساس رخداد، در این روش در زمانی که رخداد مشابه بین اعتبار سنج و استفاده کننده رخ دهد رمز یک بار مصرف تولید می گردد.
روش Challenge Response، که رمز عبور بر اساس اطلاعات Challenge تولید می گردد.
به غیر از استفاده از Token روش های دیگری نیز برای تولید رمز OTP وجود دارد به طور مثال استفاده از نرم افزار های سمت کاربر، تولید رمز یک بار مصرف و ارسال آن از طریق روش های Out of band مانند ارسال از طریق SMS، و یا حتی چاپ کردن آن روی کاغذ.

نحوه عملکرد
1-کاربر اطلاعات مربوط به تراکنش های مالی راوارد می کند.
2-کاربر توکن را مقابل مانیتور نگه داشته و توکن اطلاعات مربوط به تراکنش را اسکن می نماید
3-توکن اطلاعات اسکن شده را برای اطمینان از صحت اطلاعات به کاربر نمایش می دهد.
4-کاربر روی توکن کلیک کرده و توکن امضای دیجتال راتولید می نماید.
5-کاربر امضای الکترونیک دریافتی از توکن را داخل پورتال تایپ می کند
6-بانک تراکنش مالی را تایید می کند.و در صورت تطابق تراکنش انجام می گیرد.

رمزهای یکبار مصرف معمولا به 3 روش به دست کاربر می‌رسد.
از طریق ارسال پیامک به موبایل کاربر
شماره موبایل کاربر پس از ثبت در سیستم و سنجش اعتبار آن، یکی از راه‌های متداول برای ارسال رمز یکبار مصرف است.
تولید و نمایش/پرینت تعدادی رمز یکبار مصرف

می‌توان به تعداد لازم (n) رمز یکبار مصرف، برای یک دوره زمانی (مثلا یک ماه) تولید کرد تا کاربر آن را یادداشت/پرینت کند و هر بار یکی از آنها را استفاده کند.

استفاده از یک سخت افزار مستقل از کامپیوتر کاربر و شبکه اینترنت
این روش که با استفاده از یک سخت افزار مستقل از کامپیوتر کاربر که نیازی هم به شبکه و اینترنت ندارد، رمزیکبارمصرف را تولید می نماید.شرکت‌های بزرگ تجاری، یک وسیله کوچک و کاملا مستقل برای این امر تهیه و در اختیار مشتریانشان قرار می‌دهند. در ایران نیز برخی از بانک ها وسیله‌ای به نام «دستگاه رمزیاب» برای تولید رمز یکبارمصرف در اختیار مشتریان قرار می‌دهند.

نتیجه گیری
رمزهای یکبار مصرف، بسیاری ازنقاط ضعف رمزهای قدیمی یا همان رمزهای ثابت را پوشش می‌دهد. و امنیت بیشتری را فراهم می آورد.مهم‌ترین نقصی که توسط رمز یکبار مصرف جبران می‌شود، عدم آسیب‌پذیر بودن در تکرار حملات است. با استفاده از این روش، یک مزاحم بالقوه که به نحوی موفق به دستیابی رمز یکبار مصرف می‌شود که قبلاً با آن به سرویسی دسترسی پیدا کرده‌اند یا تراکنشی انجام شده است، دیگر قادر نخواهد بود تا از آن سوءاستفاده کند، چرا که این رمز باطل شده است. خرده‌ای که به رمز یکبار مصرف گرفته می‌شود، دشواری در به‌خاطرسپاری آنها توسط انسان است که به همین دلیل بهره‌گیری از فناوری کمکی، در استفاده از رمز یکبار مصرف، الزامی است.

منبع:پلیس فتا

جهت تبادل گفتگو و حل مشکلات در باره این موضوع , کلیک کنید

یک پاسخ به “درباره رمز یکبار مصرف (OTP)”

  1. محسن صادقی گفت:

    سلام
    این تکنولوِژی رو حدود 10 سال پیش من باهاش برخورد کردم و تو سیستم مرسدس بنز دیدم برای ارسال موارد گارانتی و خوندن اطلاعات امنیتی کامپیوتر خودرو از سامانه مرسدس از این روش استفاده می شد و یک توکن داشتیم که در هر مرتبه باز و بسته شدن و اطلاعات موجود در نرم افزار تحت وب رمز ورود به سیستم تغییر میکرد. اما جای سئوال داشت که چه چیزی ذو اون لحظه از سیستم من دریافت میکرد که در هر لحظه باز و بسته شدن درب توکن رمز فرق میکرد ؟؟ آیا مخصوص کاربری من بود اون توکن و یا … خیلی عجیب بود اون موقع البته که بعدها به این تکنولوژی پی بردم

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *