รหัสผ่านครั้งเดียว รหัสผ่านครั้งเดียวสำหรับ Sberbank ออนไลน์ ยืนยันการทำธุรกรรมด้วยรหัสผ่านเพียงครั้งเดียว

รหัสผ่านครั้งเดียว(รหัสผ่านครั้งเดียว OTP) เป็นรหัสผ่านที่ถูกต้องสำหรับเซสชันเดียวเท่านั้น ความถูกต้องของรหัสผ่านแบบใช้ครั้งเดียวสามารถจำกัดไว้ในช่วงระยะเวลาหนึ่งได้เช่นกัน ข้อดีของการใช้รหัสผ่านแบบครั้งเดียวมากกว่ารหัสผ่านแบบคงที่คือ รหัสผ่านนั้นไม่สามารถนำมาใช้ซ้ำได้ ดังนั้นผู้โจมตีที่สกัดกั้นข้อมูลจากเซสชันการตรวจสอบสิทธิ์ที่ประสบความสำเร็จจะไม่สามารถใช้รหัสผ่านที่คัดลอกเพื่อเข้าถึงระบบข้อมูลที่ได้รับการป้องกันได้ การใช้รหัสผ่านแบบครั้งเดียวไม่ได้ป้องกันการโจมตีโดยอาศัยการรบกวนที่ใช้งานกับช่องทางการสื่อสารที่ใช้สำหรับการตรวจสอบสิทธิ์ (เช่น ต่อต้านการโจมตีแบบแทรกกลาง)

ในการสร้างรหัสผ่านแบบครั้งเดียว จะมีการใช้ตัวสร้างรหัสผ่านแบบครั้งเดียว ซึ่งสามารถเข้าถึงได้โดยผู้ใช้ที่กำหนดเท่านั้น โดยทั่วไปแล้ว รหัสผ่านแบบใช้ครั้งเดียวจะแสดงเป็นชุดตัวเลขและใช้เพื่อเข้าถึงระบบการบำรุงรักษาระยะไกล เหล่านี้เป็นระบบข้อมูลภายในขององค์กร

ในอุตสาหกรรมการธนาคาร วิธีที่ใช้กันทั่วไปในการระบุรหัสผ่านแบบใช้ครั้งเดียวคือผ่านข้อความ SMS ที่ธนาคารส่งถึงลูกค้าโดยใช้ระบบธนาคารทางอินเทอร์เน็ต

นอกจากนี้ ธนาคารสามารถออกรหัสผ่านแบบใช้ครั้งเดียวบนสิ่งที่เรียกว่าบัตรขูด ซึ่งเป็นบัตรพลาสติกที่รหัสผ่านซ่อนอยู่ด้านหลังการเคลือบแบบลบได้ ในกรณีนี้ ลูกค้าได้รับคำแนะนำจากระบบธนาคารทางอินเทอร์เน็ตให้ป้อนรหัสผ่านแบบครั้งเดียว (พร้อมหมายเลขซีเรียลที่แน่นอน) ให้ลบฝาครอบที่อยู่ถัดจากหมายเลขที่ต้องการบนบัตรและป้อนรหัสเข้าสู่ระบบ

มีการฝึกฝนวิธีการออกรายการรหัสผ่านแบบครั้งเดียวบนใบเสร็จรับเงิน แต่เมื่อเวลาผ่านไปจะสูญเสียความเกี่ยวข้อง เช่นเดียวกับรหัสผ่านบนบัตรขูด พวกเขามีหมายเลขซีเรียลและป้อนตามที่ระบบธนาคารออนไลน์กำหนด

ในการต่อสู้กับการฉ้อโกง ธนาคารต่างๆ มีการใช้รหัสผ่านแบบใช้ครั้งเดียวเพิ่มมากขึ้น ไม่เพียงแต่เพื่อยืนยันธุรกรรมทางการเงินเท่านั้น แต่ยังใช้ในการเข้าสู่ระบบธนาคารทางอินเทอร์เน็ตเป็นครั้งแรกอีกด้วย

ระบบธนาคารออนไลน์บางระบบมีเครื่องสร้างรหัสอิเล็กทรอนิกส์แบบใช้ครั้งเดียว

โดยทั่วไปอัลกอริทึมการสร้าง OTP จะใช้ตัวเลขสุ่ม นี่เป็นสิ่งจำเป็นเพราะไม่เช่นนั้นมันจะง่ายต่อการคาดเดารหัสผ่านที่ตามมาโดยอาศัยความรู้ของรหัสผ่านก่อนหน้า อัลกอริธึม OTP เฉพาะมีรายละเอียดแตกต่างกันมาก วิธีการต่างๆ ในการสร้างรหัสผ่านแบบใช้ครั้งเดียวมีดังต่อไปนี้

  1. การใช้อัลกอริธึมทางคณิตศาสตร์เพื่อสร้างรหัสผ่านใหม่โดยยึดตามรหัสผ่านก่อนหน้า (จริงๆ แล้วรหัสผ่านเป็นแบบลูกโซ่ และต้องใช้ในลำดับเฉพาะ)
  2. อิงตามการซิงโครไนซ์เวลาระหว่างเซิร์ฟเวอร์และไคลเอนต์ โดยให้รหัสผ่าน (รหัสผ่านใช้ได้ในช่วงเวลาสั้นๆ)
  3. การใช้อัลกอริธึมทางคณิตศาสตร์ โดยที่รหัสผ่านใหม่จะขึ้นอยู่กับการท้าทาย (เช่น หมายเลขสุ่มที่เลือกโดยเซิร์ฟเวอร์หรือส่วนหนึ่งของข้อความขาเข้า) และ/หรือตัวนับ

การศึกษาล่าสุดแสดงให้เห็นว่าหนึ่งในปัญหาที่ร้ายแรงที่สุดสำหรับบริษัทในด้านความปลอดภัยของข้อมูลคือการเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต ตามการสำรวจอาชญากรรมทางคอมพิวเตอร์และความมั่นคงของ CSI/FBI ปี 2548 ปีที่แล้ว 55% ของบริษัทรายงานเหตุการณ์ที่เกี่ยวข้องกับการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ยิ่งไปกว่านั้น ในปีเดียวกัน บริษัทต่างๆ สูญเสียเงินโดยเฉลี่ย 303,000 ดอลลาร์สหรัฐฯ เนื่องจากการเข้าถึงโดยไม่ได้รับอนุญาต และการสูญเสียเพิ่มขึ้นหกเท่าเมื่อเทียบกับปี 2547

โดยปกติแล้ว สำหรับบริษัทในรัสเซีย ตัวเลขการสูญเสียจะแตกต่างไปจากเดิมอย่างสิ้นเชิง แต่ไม่ได้ช่วยแก้ปัญหานั้นเอง การเข้าถึงโดยไม่ได้รับอนุญาตทำให้เกิดความเสียหายอย่างร้ายแรงต่อบริษัท ไม่ว่าฝ่ายบริหารจะทราบหรือไม่ก็ตาม

เป็นที่ชัดเจนว่าความน่าเชื่อถือของการป้องกันภัยคุกคามนี้ขึ้นอยู่กับคุณภาพของระบบการตรวจสอบสิทธิ์ผู้ใช้เป็นหลัก ทุกวันนี้ การพูดถึงความปลอดภัยของข้อมูลโดยไม่ต้องอ้างอิงถึงการเข้าถึงส่วนบุคคลและการติดตามการกระทำของผู้ใช้ทั้งหมดบนเครือข่ายนั้นไม่สมเหตุสมผลเลย อย่างไรก็ตาม เมื่อพูดถึงการตรวจสอบสิทธิ์ผู้ใช้บนคอมพิวเตอร์ที่รวมอยู่ในเครือข่ายท้องถิ่นขององค์กร ก็ไม่มีปัญหาใดเป็นพิเศษ ตลาดนำเสนอโซลูชันที่แตกต่างกันมากมาย รวมถึงสมาร์ทการ์ดและกุญแจอิเล็กทรอนิกส์ เครื่องมือตรวจสอบสิทธิ์ไบโอเมตริกซ์ และแม้แต่สิ่งแปลกใหม่ เช่น รหัสผ่านแบบกราฟิก

สิ่งต่างๆ จะแตกต่างไปบ้างหากผู้ใช้จำเป็นต้องเชื่อมต่อกับเครือข่ายคอมพิวเตอร์ขององค์กรจากระยะไกล เช่น ผ่านทางอินเทอร์เน็ต ในกรณีนี้เขาอาจประสบปัญหาหลายประการซึ่งเราจะพิจารณาในรายละเอียดเพิ่มเติม

ข้อผิดพลาดในการเข้าถึงระยะไกล

เมื่ออยู่ในสภาพแวดล้อมที่ไม่น่าเชื่อถือ (นอกสำนักงาน) ผู้ใช้ต้องเผชิญกับความจำเป็นในการป้อนรหัสผ่านจากคอมพิวเตอร์ของผู้อื่น (เช่นจากร้านอินเทอร์เน็ต) รหัสผ่านจะถูกแคช เช่นเดียวกับข้อมูลอื่น ๆ ที่ป้อนลงในคอมพิวเตอร์ และหากต้องการ บุคคลอื่นสามารถใช้เพื่อวัตถุประสงค์ที่เห็นแก่ตัวของตนเองได้

สิ่งที่พบได้บ่อยในปัจจุบันคือการฉ้อโกงคอมพิวเตอร์ประเภทหนึ่งที่เรียกว่าการดมกลิ่น (จากการดมกลิ่นในภาษาอังกฤษ - การดมกลิ่น) - การสกัดกั้นแพ็กเก็ตเครือข่ายโดยผู้โจมตีเพื่อระบุข้อมูลที่เขาสนใจ เมื่อใช้เทคนิคนี้ แฮกเกอร์สามารถดมรหัสผ่านของผู้ใช้และใช้เพื่อการเข้าถึงที่ไม่ได้รับอนุญาต

การป้องกันด้วยรหัสผ่านอย่างง่าย (โดยเฉพาะในระหว่างการเข้าถึงระยะไกล) ได้รับการทดสอบอย่างจริงจังโดยไวรัสสปายแวร์รุ่นใหม่ที่จะเข้าสู่คอมพิวเตอร์ของผู้ใช้อย่างเงียบ ๆ ระหว่างการ "เปลี่ยน" เว็บเพจตามปกติ สามารถตั้งโปรแกรมไวรัสให้กรองการไหลของข้อมูลของคอมพิวเตอร์เครื่องใดเครื่องหนึ่งเพื่อระบุชุดอักขระที่สามารถใช้เป็นรหัสผ่านได้ สายลับส่งชุดค่าผสมเหล่านี้ไปให้ผู้สร้าง และสิ่งที่เหลืออยู่สำหรับเขาในการระบุรหัสผ่านที่จำเป็น

เป็นที่ชัดเจนว่าวิธีการฮาร์ดแวร์ในการจัดการการเข้าถึงเครือข่ายอย่างปลอดภัยนั้นมีความน่าเชื่อถือมากกว่ารหัสผ่านธรรมดาหลายเท่า แต่จะใช้สมาร์ทการ์ดหรือคีย์ USB ได้อย่างไรในขณะที่ไม่อยู่ที่สำนักงาน เป็นไปได้มากว่าสิ่งนี้จะไม่สำเร็จเนื่องจากอุปกรณ์ตัวแรกต้องการเครื่องอ่านอย่างน้อยอุปกรณ์ที่สองต้องใช้พอร์ต USB ซึ่งอาจถูกบล็อก (ร้านอินเทอร์เน็ต) หรือแย่กว่านั้นคืออาจไม่อยู่ในอุปกรณ์ที่ผู้ใช้อยู่ พยายามรับการเข้าถึง (PDA โทรศัพท์มือถือ สมาร์ทโฟน ฯลฯ) ไม่จำเป็นต้องพูดว่าเพื่อให้ฮาร์ดแวร์ - สมาร์ทการ์ดและคีย์ USB ทำงานได้คุณต้องมีซอฟต์แวร์ที่เหมาะสมซึ่งแทบจะไม่สามารถติดตั้งในอินเทอร์เน็ตคาเฟ่เดียวกันได้

ในขณะเดียวกัน สถานการณ์ที่จำเป็นต้องรับหรือส่งข้อมูลจากระยะไกลเกิดขึ้นค่อนข้างบ่อย ตัวอย่างเช่น ระบบธนาคารอิเล็กทรอนิกส์: เป็นเรื่องง่ายที่จะจินตนาการถึงสถานการณ์ที่ผู้ใช้จำเป็นต้องเข้าถึงทรัพยากรทางธนาคารที่ปลอดภัยเพื่อจัดการบัญชีของตนจากระยะไกล ปัจจุบัน ธนาคารบางแห่งได้ตระหนักถึงความจำเป็นในการอนุญาตฮาร์ดแวร์โดยใช้คีย์ USB แต่ด้วยเหตุผลหลายประการที่อธิบายไว้ข้างต้น จึงไม่สามารถใช้งานได้เสมอไป

ลักษณะเฉพาะของธุรกิจของบริษัทขนาดใหญ่หลายแห่งมักจะบังคับให้พวกเขาให้การเข้าถึงทรัพยากรของตนเองแก่ผู้ใช้บุคคลที่สาม - พันธมิตร ลูกค้า ซัพพลายเออร์ ปัจจุบันในรัสเซีย ความร่วมมือประเภทหนึ่ง เช่น การจัดจ้างบุคคลภายนอก กำลังได้รับแรงผลักดันอย่างมาก: บริษัทผู้รับเหมาช่วงอาจจำเป็นต้องเข้าถึงทรัพยากรที่ได้รับการคุ้มครองของลูกค้าเพื่อดำเนินการตามคำสั่งซื้อ

ความจำเป็นในการเชื่อมต่อกับเครือข่ายองค์กรโดยใช้รูปแบบการตรวจสอบความถูกต้องที่เชื่อถือได้โดยมีเพียง PDA หรือสมาร์ทโฟนในมือเท่านั้น อาจกลายเป็นปัญหาร้ายแรงได้หากผู้ใช้อยู่ในการประชุม การเจรจา หรือกิจกรรมทางธุรกิจอื่นๆ สำหรับแอปพลิเคชันบนมือถือ เช่นเดียวกับการจัดระเบียบการเข้าถึงข้อมูลที่จำเป็นจากสถานที่ที่ไม่สามารถติดตั้งซอฟต์แวร์พิเศษได้ แนวคิดของรหัสผ่านแบบใช้ครั้งเดียว OTP - รหัสผ่านแบบใช้ครั้งเดียวได้รับการพัฒนา

รหัสผ่านครั้งเดียว: ป้อนแล้วลืม

รหัสผ่านแบบใช้ครั้งเดียวคือคำสำคัญที่ถูกต้องสำหรับกระบวนการตรวจสอบสิทธิ์เดียวเท่านั้นในระยะเวลาที่จำกัด รหัสผ่านดังกล่าวช่วยแก้ปัญหาการสกัดกั้นข้อมูลหรือการแอบดูซ้ำ ๆ ได้อย่างสมบูรณ์ แม้ว่าผู้โจมตีสามารถรับรหัสผ่าน “ของเหยื่อ” ได้ แต่โอกาสในการใช้รหัสผ่านเพื่อเข้าถึงนั้นกลับเป็นศูนย์

การใช้งานครั้งแรกของแนวคิดรหัสผ่านครั้งเดียวนั้นขึ้นอยู่กับชุดคำหลักคงที่ เช่น รายการรหัสผ่าน (กุญแจ คำรหัส ฯลฯ) ถูกสร้างขึ้นครั้งแรก ซึ่งผู้ใช้สามารถใช้งานได้ กลไกที่คล้ายกันนี้ถูกใช้ในระบบธนาคารระบบแรกที่มีความสามารถในการจัดการบัญชีจากระยะไกล เมื่อเปิดใช้งานบริการนี้ ลูกค้าจะได้รับซองจดหมายพร้อมรายการรหัสผ่านของตน จากนั้นทุกครั้งที่เขาเข้าสู่ระบบ เขาจะใช้คำสำคัญถัดไป เมื่อถึงจุดสิ้นสุดของรายการ ลูกค้าก็ไปที่ธนาคารเพื่อขอรายการใหม่ โซลูชันนี้มีข้อเสียหลายประการ โดยข้อเสียหลักคือมีความน่าเชื่อถือต่ำ อย่างไรก็ตาม การพกรายการรหัสผ่านติดตัวคุณตลอดเวลาถือเป็นอันตราย ผู้โจมตีอาจสูญหายหรือถูกขโมยได้ง่าย แล้วรายการก็ไม่สิ้นสุด แต่จะเกิดอะไรขึ้นถ้าไม่สามารถไปธนาคารได้ในเวลาที่เหมาะสมล่ะ?

โชคดีที่วันนี้สถานการณ์เปลี่ยนแปลงไปอย่างมาก โดยทั่วไปแล้ว ในประเทศตะวันตก รหัสผ่านแบบใช้ครั้งเดียวสำหรับการรับรองความถูกต้องในระบบข้อมูลกลายเป็นเรื่องปกติไปแล้ว อย่างไรก็ตาม ในประเทศของเรา เทคโนโลยี OTP ยังคงไม่สามารถใช้งานได้จนกระทั่งเมื่อไม่นานมานี้ และเมื่อไม่นานมานี้ ฝ่ายบริหารของบริษัทเริ่มตระหนักว่าความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาตจะเพิ่มขึ้นมากเพียงใดเมื่อทำงานจากระยะไกล ดังที่เราทราบดีมานด์ทำให้เกิดอุปทาน ขณะนี้ผลิตภัณฑ์ที่ใช้รหัสผ่านแบบใช้ครั้งเดียวสำหรับการตรวจสอบสิทธิ์ระยะไกลได้เริ่มเข้ามาแทนที่ในตลาดรัสเซียแล้ว

เทคโนโลยีการตรวจสอบความถูกต้อง OTP สมัยใหม่ใช้การสร้างคำสำคัญแบบไดนามิกโดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง กล่าวอีกนัยหนึ่ง ข้อมูลการตรวจสอบสิทธิ์เป็นผลมาจากการเข้ารหัสค่าเริ่มต้นบางส่วนโดยใช้รหัสลับของผู้ใช้ ทั้งไคลเอนต์และเซิร์ฟเวอร์มีข้อมูลนี้ ไม่ได้ส่งผ่านเครือข่ายและไม่สามารถดักจับได้ ข้อมูลที่ทราบทั้งสองด้านของกระบวนการตรวจสอบความถูกต้องจะถูกใช้เป็นค่าเริ่มต้น และคีย์การเข้ารหัสจะถูกสร้างขึ้นสำหรับผู้ใช้แต่ละคนเมื่อเริ่มต้นในระบบ (รูปที่ 1)

เป็นที่น่าสังเกตว่าในขั้นตอนของการพัฒนาเทคโนโลยี OTP นี้ มีระบบที่ใช้การเข้ารหัสทั้งแบบสมมาตรและไม่สมมาตร ในกรณีแรกทั้งสองฝ่ายจะต้องมีรหัสลับ ประการที่สอง เฉพาะผู้ใช้เท่านั้นที่ต้องการคีย์ลับ ในขณะที่เซิร์ฟเวอร์การตรวจสอบความถูกต้องกำหนดให้คีย์ลับเป็นแบบสาธารณะ

การนำไปปฏิบัติ

เทคโนโลยี OTP ได้รับการพัฒนาโดยเป็นส่วนหนึ่งของโครงการริเริ่มอุตสาหกรรม Open Authentication (OATH) ที่เปิดตัวโดย VeriSign ในปี 2547 สาระสำคัญของโครงการริเริ่มนี้คือการพัฒนาข้อกำหนดมาตรฐานสำหรับการตรวจสอบสิทธิ์ที่แข็งแกร่งอย่างแท้จริงสำหรับบริการอินเทอร์เน็ตต่างๆ ยิ่งไปกว่านั้น เรากำลังพูดถึงการกำหนดสิทธิ์ผู้ใช้แบบสองปัจจัย ในระหว่างนั้นจะต้อง "แสดง" สมาร์ทการ์ดหรือโทเค็น USB และรหัสผ่านของเขา ดังนั้นรหัสผ่านแบบใช้ครั้งเดียวอาจกลายเป็นวิธีการมาตรฐานในการตรวจสอบสิทธิ์ระยะไกลในระบบต่างๆ ในที่สุด

ปัจจุบัน มีตัวเลือกมากมายสำหรับการนำระบบตรวจสอบสิทธิ์รหัสผ่านแบบครั้งเดียวไปใช้จริงและนำไปใช้ในทางปฏิบัติ

วิธีการตอบกลับคำขอหลักการทำงานมีดังนี้: เมื่อเริ่มต้นขั้นตอนการตรวจสอบสิทธิ์ผู้ใช้จะส่งข้อมูลเข้าสู่ระบบไปยังเซิร์ฟเวอร์ เพื่อตอบสนองต่อสิ่งนี้ ส่วนหลังจะสร้างสตริงแบบสุ่มและส่งกลับ ผู้ใช้เข้ารหัสข้อมูลนี้โดยใช้รหัสของเขาและส่งกลับไปยังเซิร์ฟเวอร์ ในขณะนี้ เซิร์ฟเวอร์ “ค้นหา” รหัสลับของผู้ใช้รายนี้ในหน่วยความจำและเข้ารหัสสตริงต้นฉบับด้วยความช่วยเหลือ ต่อไปนี้คือการเปรียบเทียบผลการเข้ารหัสทั้งสองรายการ

หากตรงกันทั้งหมด จะถือว่าการรับรองความถูกต้องสำเร็จ วิธีการใช้เทคโนโลยีรหัสผ่านครั้งเดียวนี้เรียกว่าอะซิงโครนัส เนื่องจากกระบวนการตรวจสอบสิทธิ์ไม่ได้ขึ้นอยู่กับประวัติของผู้ใช้กับเซิร์ฟเวอร์และปัจจัยอื่น ๆวิธีการ "ตอบสนองเท่านั้น"

ในกรณีนี้ อัลกอริธึมการรับรองความถูกต้องจะค่อนข้างง่ายกว่า ในช่วงเริ่มต้นของกระบวนการ ซอฟต์แวร์หรือฮาร์ดแวร์ของผู้ใช้จะสร้างข้อมูลต้นฉบับอย่างอิสระ ซึ่งจะถูกเข้ารหัสและส่งไปยังเซิร์ฟเวอร์เพื่อทำการเปรียบเทียบ ในกรณีนี้ ค่าของคำขอก่อนหน้าจะถูกใช้ในระหว่างกระบวนการสร้างแถว เซิร์ฟเวอร์ก็มีข้อมูลนี้ด้วย เมื่อทราบชื่อผู้ใช้ ระบบจะค้นหาค่าของคำขอก่อนหน้าและสร้างสตริงเดียวกันทุกประการโดยใช้อัลกอริทึมเดียวกัน เมื่อเข้ารหัสโดยใช้รหัสลับของผู้ใช้ (มันถูกเก็บไว้บนเซิร์ฟเวอร์ด้วย) เซิร์ฟเวอร์จะได้รับค่าที่ต้องตรงกับข้อมูลที่ผู้ใช้ส่งโดยสมบูรณ์วิธีการซิงโครไนซ์เวลา

ใช้การอ่านตัวจับเวลาปัจจุบันของอุปกรณ์พิเศษหรือคอมพิวเตอร์ที่บุคคลทำงานเป็นบรรทัดเริ่มต้น ในกรณีนี้ โดยปกติจะไม่ใช่การบ่งชี้เวลาที่แน่นอน แต่เป็นช่วงเวลาปัจจุบันที่มีขอบเขตที่กำหนดไว้ล่วงหน้า (เช่น 30 วินาที) ข้อมูลนี้ถูกเข้ารหัสโดยใช้รหัสลับและส่งข้อความที่ชัดเจนไปยังเซิร์ฟเวอร์พร้อมกับชื่อผู้ใช้ เมื่อได้รับคำขอการรับรองความถูกต้อง เซิร์ฟเวอร์จะดำเนินการเดียวกัน: รับเวลาปัจจุบันจากตัวจับเวลาและเข้ารหัส หลังจากนี้ สิ่งที่เขาต้องทำคือเปรียบเทียบสองค่า: ค่าที่คำนวณได้กับค่าที่ได้รับจากคอมพิวเตอร์ระยะไกลวิธีการ "ประสานเหตุการณ์"

บางระบบใช้สิ่งที่เรียกว่าวิธีการผสม โดยที่ใช้ข้อมูลตั้งแต่สองประเภทขึ้นไปเป็นค่าเริ่มต้น ตัวอย่างเช่น มีระบบที่คำนึงถึงทั้งตัวนับการรับรองความถูกต้องและตัวจับเวลาในตัว แนวทางนี้หลีกเลี่ยงข้อเสียหลายประการของแต่ละวิธี

ช่องโหว่ของเทคโนโลยี OTP

เทคโนโลยีรหัสผ่านแบบครั้งเดียวถือว่าค่อนข้างเชื่อถือได้ อย่างไรก็ตาม เพื่อความเที่ยงธรรม เราสังเกตว่าระบบทั้งหมดที่ใช้หลักการ OTP ในรูปแบบบริสุทธิ์ล้วนมีข้อเสียเช่นกัน ช่องโหว่ดังกล่าวสามารถแบ่งออกเป็นสองกลุ่ม ประการแรกประกอบด้วย "ช่องโหว่" ที่อาจเป็นอันตรายซึ่งมีอยู่ในวิธีการนำไปใช้งานทั้งหมด สิ่งที่ร้ายแรงที่สุดคือความเป็นไปได้ในการปลอมแปลงเซิร์ฟเวอร์การตรวจสอบความถูกต้อง ในกรณีนี้ ผู้ใช้จะส่งข้อมูลของเขาโดยตรงไปยังผู้โจมตี ซึ่งสามารถใช้เพื่อเข้าถึงเซิร์ฟเวอร์จริงได้ทันที ในกรณีของวิธี "ร้องขอ - ตอบกลับ" อัลกอริธึมการโจมตีจะซับซ้อนขึ้นเล็กน้อย (คอมพิวเตอร์ของแฮ็กเกอร์จะต้องทำหน้าที่เป็น "ตัวกลาง" โดยผ่านกระบวนการแลกเปลี่ยนข้อมูลระหว่างเซิร์ฟเวอร์และไคลเอนต์) อย่างไรก็ตามเป็นที่น่าสังเกตว่าในทางปฏิบัติการโจมตีดังกล่าวไม่ใช่เรื่องง่ายเลย

ช่องโหว่อีกประการหนึ่งมีอยู่ในวิธีการซิงโครนัสเท่านั้นและเกี่ยวข้องกับความจริงที่ว่ามีความเสี่ยงที่ข้อมูลจะยกเลิกการซิงโครไนซ์บนเซิร์ฟเวอร์และในซอฟต์แวร์หรือฮาร์ดแวร์ของผู้ใช้ สมมติว่าในบางระบบข้อมูลเริ่มต้นคือการอ่านตัวจับเวลาภายในและด้วยเหตุผลบางอย่างข้อมูลเหล่านี้จึงไม่ตรงกันอีกต่อไป ในกรณีนี้ ความพยายามของผู้ใช้ทั้งหมดในการตรวจสอบสิทธิ์จะล้มเหลว (ข้อผิดพลาดประเภท 1) โชคดีในกรณีเช่นนี้ ไม่สามารถเกิดข้อผิดพลาดประเภทที่สอง (การรับ "คนต่างด้าว") ได้ อย่างไรก็ตาม โอกาสที่สถานการณ์ที่อธิบายไว้จะเกิดขึ้นก็ต่ำมากเช่นกัน

การโจมตีบางอย่างใช้ได้กับการใช้งานเทคโนโลยีรหัสผ่านแบบใช้ครั้งเดียวบางอย่างเท่านั้น ตัวอย่างเช่น ลองใช้วิธีซิงโครไนซ์ตัวจับเวลาอีกครั้ง ดังที่เราได้กล่าวไปแล้ว เวลาไม่ได้คำนึงถึงความแม่นยำของวินาที แต่อยู่ในช่วงเวลาที่กำหนดไว้ โดยคำนึงถึงความเป็นไปได้ที่ตัวจับเวลาจะยกเลิกการซิงโครไนซ์ตลอดจนความล่าช้าในการส่งข้อมูล และขณะนี้เองที่ผู้โจมตีสามารถใช้ประโยชน์ในทางทฤษฎีเพื่อเข้าถึงระบบระยะไกลโดยไม่ได้รับอนุญาตได้ ประการแรก แฮกเกอร์จะ “ฟัง” การรับส่งข้อมูลเครือข่ายจากผู้ใช้ไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้อง และสกัดกั้นการเข้าสู่ระบบและรหัสผ่านแบบครั้งเดียวที่ส่งโดย “เหยื่อ” จากนั้นเขาก็บล็อกคอมพิวเตอร์ของเขาทันที (โอเวอร์โหลด ตัดการเชื่อมต่อ ฯลฯ) และส่งข้อมูลการอนุญาตจากตัวเขาเอง และหากผู้โจมตีจัดการได้อย่างรวดเร็วจนไม่มีเวลาเปลี่ยนช่วงเวลาการตรวจสอบสิทธิ์ เซิร์ฟเวอร์จะจดจำเขาเป็นผู้ใช้ที่ลงทะเบียนแล้ว

เป็นที่ชัดเจนว่าสำหรับการโจมตีดังกล่าว ผู้โจมตีจะต้องสามารถฟังการรับส่งข้อมูล รวมถึงบล็อกคอมพิวเตอร์ของลูกค้าได้อย่างรวดเร็ว และนี่ไม่ใช่งานง่าย วิธีที่ง่ายที่สุดในการปฏิบัติตามเงื่อนไขเหล่านี้เมื่อมีการวางแผนการโจมตีล่วงหน้า และ "เหยื่อ" จะใช้คอมพิวเตอร์จากเครือข่ายท้องถิ่นของบุคคลอื่นเพื่อเชื่อมต่อกับระบบระยะไกล ในกรณีนี้แฮ็กเกอร์สามารถ "ทำงาน" บนพีซีเครื่องใดเครื่องหนึ่งล่วงหน้า และได้รับโอกาสในการควบคุมเครื่องจากเครื่องอื่น คุณสามารถป้องกันตัวเองจากการโจมตีดังกล่าวได้โดยใช้เครื่องทำงาน "ที่เชื่อถือได้" เท่านั้น (เช่น แล็ปท็อปหรือ PDA ของคุณเอง) และช่องทางที่ปลอดภัย "อิสระ" (เช่น การใช้ SSL) ในการเข้าถึงอินเทอร์เน็ต

คุณภาพการดำเนินงาน

ความน่าเชื่อถือของระบบรักษาความปลอดภัยส่วนใหญ่ขึ้นอยู่กับคุณภาพของการใช้งาน โซลูชันที่ใช้งานได้จริงทั้งหมดมีข้อบกพร่องของตัวเองซึ่งผู้โจมตีสามารถใช้ประโยชน์เพื่อวัตถุประสงค์ของตนเองได้ และ "ช่องโหว่" เหล่านี้มักไม่เกี่ยวข้องโดยตรงกับเทคโนโลยีที่กำลังใช้งาน กฎนี้ใช้ได้กับระบบการตรวจสอบสิทธิ์ที่ใช้รหัสผ่านแบบใช้ครั้งเดียวโดยสมบูรณ์ ดังที่ได้กล่าวไว้ข้างต้น สิ่งเหล่านี้ขึ้นอยู่กับการใช้อัลกอริธึมการเข้ารหัส สิ่งนี้กำหนดภาระผูกพันบางประการให้กับผู้พัฒนาผลิตภัณฑ์ดังกล่าว - ท้ายที่สุดแล้ว การดำเนินการอัลกอริทึมใด ๆ ที่มีคุณภาพต่ำหรือตัวอย่างเช่น ตัวสร้างตัวเลขสุ่มอาจเป็นอันตรายต่อความปลอดภัยของข้อมูล

เครื่องสร้างรหัสผ่านแบบครั้งเดียวมีการใช้งานสองวิธี: ซอฟต์แวร์และฮาร์ดแวร์ ประการแรกมีความน่าเชื่อถือน้อยกว่าโดยธรรมชาติ ความจริงก็คือยูทิลิตี้ไคลเอนต์จะต้องเก็บรหัสลับของผู้ใช้ ซึ่งสามารถทำได้อย่างปลอดภัยไม่มากก็น้อยโดยการเข้ารหัสคีย์ตามรหัสผ่านส่วนตัวเท่านั้น จำเป็นต้องคำนึงว่าจะต้องติดตั้งยูทิลิตี้ไคลเอนต์บนอุปกรณ์ (PDA, สมาร์ทโฟน ฯลฯ ) ที่เซสชั่นกำลังทำงานอยู่ ดังนั้นปรากฎว่าการรับรองความถูกต้องของพนักงานขึ้นอยู่กับรหัสผ่านเดียว แม้ว่าจะมีหลายวิธีในการค้นหาหรือคาดเดาก็ตาม และนี่ยังห่างไกลจากช่องโหว่เพียงจุดเดียวของซอฟต์แวร์สร้างรหัสผ่านแบบใช้ครั้งเดียว

อุปกรณ์ต่างๆ สำหรับการใช้งานฮาร์ดแวร์ของเทคโนโลยี OTP มีความน่าเชื่อถือมากกว่าอย่างไม่มีที่เปรียบ ตัวอย่างเช่น มีอุปกรณ์ที่ดูเหมือนเครื่องคิดเลข (รูปที่ 2): เมื่อคุณป้อนชุดตัวเลขที่เซิร์ฟเวอร์ส่งมา อุปกรณ์เหล่านั้นจะสร้างรหัสผ่านแบบใช้ครั้งเดียวตามรหัสลับที่ฝังไว้ ("คำขอ-ตอบกลับ" " วิธี). ช่องโหว่หลักของอุปกรณ์ดังกล่าวคืออุปกรณ์อาจถูกขโมยหรือสูญหายได้ คุณสามารถรักษาความปลอดภัยระบบจากผู้โจมตีได้ก็ต่อเมื่อคุณใช้การป้องกันหน่วยความจำของอุปกรณ์ที่เชื่อถือได้ด้วยรหัสลับ

ข้าว. 2. อุปกรณ์ RSA SecurID OTP

นี่เป็นแนวทางที่ใช้ในสมาร์ทการ์ดและโทเค็น USB ในการเข้าถึงหน่วยความจำ ผู้ใช้ต้องป้อนรหัส PIN ให้เราเพิ่มว่าอุปกรณ์ดังกล่าวได้รับการปกป้องจากการคาดเดารหัส PIN: หากป้อนค่าผิดสามครั้งอุปกรณ์เหล่านั้นจะถูกบล็อก การจัดเก็บข้อมูลสำคัญที่เชื่อถือได้ การสร้างฮาร์ดแวร์ของคู่คีย์ และประสิทธิภาพของการดำเนินการเข้ารหัสในสภาพแวดล้อมที่เชื่อถือได้ (บนชิปสมาร์ทการ์ด) ไม่อนุญาตให้ผู้โจมตีแยกคีย์ลับและสร้างสำเนาของอุปกรณ์สร้างรหัสผ่านแบบใช้ครั้งเดียว

ตัวอย่างการนำ OTP ไปใช้

ดังนั้นสมาร์ทการ์ดและโทเค็น USB จึงถือเป็นเครื่องสร้างรหัสผ่านครั้งเดียวที่น่าเชื่อถือที่สุด ซึ่งได้รับการปกป้องจากช่องโหว่ในการใช้งานเกือบทั้งหมด ยิ่งไปกว่านั้นอย่างหลังยังสะดวกกว่าอย่างชัดเจน: สามารถใช้กับพีซีหรือแล็ปท็อปเครื่องใดก็ได้โดยไม่ต้องใช้อุปกรณ์อ่านเพิ่มเติมที่จำเป็นสำหรับสมาร์ทการ์ด นอกจากนี้ยังมีการใช้คีย์ USB พร้อมเทคโนโลยี OTP ซึ่งสามารถทำงานได้โดยไม่ต้องใช้พอร์ต USB ตัวอย่างของรหัสอิเล็กทรอนิกส์ดังกล่าวคือ eToken NG-OTP จาก Aladdin (รูปที่ 3)

เป็นที่น่าสังเกตว่า Aladdin (http://www.aladdin.com) มีส่วนร่วมอย่างแข็งขันในการส่งเสริมโครงการริเริ่ม OATH ที่กล่าวถึงข้างต้น และกุญแจสำคัญที่กล่าวถึงในที่นี้ได้รับเลือกให้เป็นองค์ประกอบหลักของโซลูชัน VeriSign Unified Authentication จริงอยู่ ระบบนี้มีชื่อเรียกต่างกันออกไป: eToken VeriSign วัตถุประสงค์หลักของโซลูชันนี้คือเพื่อเพิ่มความมั่นใจในการทำธุรกรรมที่สรุปผ่านทางอินเทอร์เน็ต และขึ้นอยู่กับการตรวจสอบสิทธิ์แบบสองปัจจัยที่เข้มงวดโดยใช้คีย์ฮาร์ดแวร์ การส่งมอบผลิตภัณฑ์ eToken NG-OTP ดังกล่าวเป็นเครื่องยืนยันคุณภาพและความสอดคล้องกับข้อกำหนด OATH ทั้งหมด

อุปกรณ์ซีรีส์ eToken ค่อนข้างแพร่หลายในรัสเซีย ผู้ผลิตชั้นนำ เช่น Microsoft, Cisco, Oracle, Novell ฯลฯ ให้การสนับสนุนในผลิตภัณฑ์ของตน (eToken มีการใช้งานมากกว่า 200 รายการพร้อมแอปพลิเคชันความปลอดภัยของข้อมูลในประวัติ)

ดังนั้น eToken NG-OTP จึงใช้คีย์ฮาร์ดแวร์อื่น โดยรุ่นที่ได้รับความนิยมมากที่สุดในกลุ่มนี้คือ eToken PRO เป็นโทเค็นเต็มรูปแบบที่ใช้ชิปสมาร์ทการ์ดพร้อมหน่วยความจำที่ได้รับการป้องกัน ซึ่งสามารถนำไปใช้จัดเก็บข้อมูลสำคัญ โปรไฟล์ผู้ใช้ และข้อมูลที่เป็นความลับอื่นๆ อย่างปลอดภัย สำหรับการคำนวณการเข้ารหัสด้วยฮาร์ดแวร์ และการทำงานกับคีย์แบบอสมมาตรและใบรับรอง X.509 .

นอกเหนือจากโมดูลที่ใช้ความสามารถที่อธิบายไว้ข้างต้นแล้ว คีย์ eToken NG-OTP ยังมีตัวสร้างรหัสผ่านแบบฮาร์ดแวร์แบบครั้งเดียว (รูปที่ 4) มันทำงานโดยใช้วิธี "การซิงโครไนซ์เหตุการณ์" นี่คือการนำเทคโนโลยี OTP ไปใช้ที่เชื่อถือได้มากที่สุดในบรรดาตัวเลือกแบบซิงโครนัส (โดยมีความเสี่ยงน้อยกว่าในการดีซิงโครไนซ์) อัลกอริธึมการสร้างรหัสผ่านแบบครั้งเดียวที่ใช้ในคีย์ eToken NG-OTP ได้รับการพัฒนาโดยเป็นส่วนหนึ่งของโครงการริเริ่ม OATH (ใช้เทคโนโลยี HMAC) สิ่งสำคัญคือการคำนวณค่า HMAC-SHA-1 จากนั้นดำเนินการตัดทอน (เลือก) ตัวเลขหกหลักจากค่า 160 บิตที่ได้ พวกเขาคือผู้ที่ทำหน้าที่เป็นรหัสผ่านแบบใช้ครั้งเดียว

คุณสมบัติที่น่าสนใจของคีย์รวม eToken NG-OTP คือความสามารถในการใช้รหัสผ่านแบบครั้งเดียวแม้ว่าจะไม่ได้เชื่อมต่อคีย์กับคอมพิวเตอร์ก็ตาม กระบวนการสร้าง OTP สามารถเริ่มต้นได้โดยการกดปุ่มพิเศษที่อยู่บนตัวเครื่อง (รูปที่ 5) และผลลัพธ์ในกรณีนี้จะแสดงบนจอ LCD ในตัว วิธีการนี้ช่วยให้คุณสามารถใช้เทคโนโลยี OTP ได้แม้บนอุปกรณ์ที่ไม่มีพอร์ต USB (สมาร์ทโฟน, PDA, โทรศัพท์มือถือ ฯลฯ) และบนคอมพิวเตอร์ที่ถูกบล็อก

สิ่งที่น่าเชื่อถือที่สุดคือโหมดการทำงานแบบผสมของคีย์ที่เป็นปัญหา หากต้องการใช้งาน อุปกรณ์จะต้องเชื่อมต่อกับพีซี ที่นี่เรากำลังพูดถึงการรับรองความถูกต้องด้วยสองปัจจัยซึ่งมีการใช้งานหลายวิธี ในกรณีหนึ่ง ในการเข้าถึงเครือข่าย จำเป็นต้องใช้รหัสผ่านของผู้ใช้เองในการเข้าใช้งาน รวมถึงค่า OTP ตัวเลือกอื่นต้องใช้รหัสผ่านแบบใช้ครั้งเดียวและค่า OTP PIN (แสดงบนหน้าจอหลัก)

โดยปกติแล้ว คีย์ eToken NG-OTP สามารถทำงานเป็นโทเค็น USB มาตรฐานได้ - สำหรับการตรวจสอบผู้ใช้โดยใช้ใบรับรองดิจิทัลและเทคโนโลยี PKI สำหรับจัดเก็บคีย์ส่วนบุคคล ฯลฯ ดังนั้นจึงแนะนำให้ใช้ผลิตภัณฑ์ที่เป็นปัญหาในโครงการต่างๆ ที่เกี่ยวข้อง ความต้องการการเข้าถึงระยะไกลที่ปลอดภัยและการตรวจสอบสิทธิ์แบบสองปัจจัย การใช้คีย์ไฮบริดดังกล่าวในระดับองค์กรทำให้ผู้ใช้สามารถทำงานกับคีย์ของตนทั้งในสำนักงานและภายนอกได้ แนวทางนี้ช่วยลดต้นทุนในการสร้างระบบรักษาความปลอดภัยข้อมูลโดยไม่ลดความน่าเชื่อถือ

มาสรุปกัน

ดังนั้น แนวคิดของรหัสผ่าน OTP แบบครั้งเดียวควบคู่ไปกับเทคนิคการเข้ารหัสสมัยใหม่จึงสามารถนำมาใช้เพื่อสร้างระบบการตรวจสอบสิทธิ์ระยะไกลที่เชื่อถือได้ได้ เทคโนโลยีนี้มีข้อดีหลายประการ ประการแรกคือความน่าเชื่อถือ ปัจจุบันมีวิธีการพิสูจน์ตัวตนผู้ใช้ที่ "เข้มงวด" เพียงไม่กี่วิธีที่ทราบเมื่อส่งข้อมูลผ่านช่องทางการสื่อสารแบบเปิด ในขณะเดียวกันปัญหานี้ก็เกิดขึ้นบ่อยขึ้นเรื่อยๆ และรหัสผ่านแบบใช้ครั้งเดียวก็เป็นหนึ่งในโซลูชั่นที่น่าหวังที่สุด

ข้อได้เปรียบประการที่สองของรหัสผ่านแบบใช้ครั้งเดียวคือการใช้อัลกอริธึมการเข้ารหัส "มาตรฐาน" ซึ่งหมายความว่าการพัฒนาที่มีอยู่เหมาะสมอย่างยิ่งสำหรับการนำระบบการรับรองความถูกต้องไปใช้โดยใช้ OTP ตามความเป็นจริง สิ่งนี้ได้รับการพิสูจน์อย่างชัดเจนด้วยคีย์ eToken NG-OTP เดียวกัน ซึ่งเข้ากันได้กับผู้ให้บริการ crypto ในประเทศ โทเค็นดังกล่าวสามารถใช้ในระบบรักษาความปลอดภัยขององค์กรที่มีอยู่ได้โดยไม่ต้องสร้างใหม่ เป็นผลให้การนำเทคโนโลยีรหัสผ่านแบบใช้ครั้งเดียวไปใช้สามารถทำได้ด้วยต้นทุนที่ค่อนข้างต่ำ

ข้อดีอีกประการของรหัสผ่านแบบใช้ครั้งเดียวคือการป้องกันนั้นขึ้นอยู่กับปัจจัยของมนุษย์เพียงเล็กน้อย จริงอยู่ สิ่งนี้ใช้ไม่ได้กับการใช้งานทั้งหมด ดังที่เราได้กล่าวไปแล้ว ความน่าเชื่อถือของโปรแกรมรหัสผ่านแบบครั้งเดียวจำนวนมากขึ้นอยู่กับคุณภาพของรหัส PIN ที่ใช้ เครื่องกำเนิดฮาร์ดแวร์ที่ใช้โทเค็น USB ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเต็มรูปแบบ และสุดท้าย ข้อได้เปรียบประการที่สี่ของแนวคิด OTP ก็คือความสะดวกสำหรับผู้ใช้ การเข้าถึงข้อมูลที่จำเป็นโดยใช้รหัสผ่านแบบครั้งเดียวนั้นไม่ยากไปกว่าการใช้คำหลักคงที่เพื่อจุดประสงค์นี้ สิ่งที่ดีอย่างยิ่งคือการใช้งานฮาร์ดแวร์บางอย่างของเทคโนโลยีที่กล่าวถึงนี้สามารถใช้กับอุปกรณ์ใดก็ได้ โดยไม่คำนึงถึงพอร์ตและซอฟต์แวร์ที่ติดตั้งอยู่

ID ผู้ใช้ (หรือเข้าสู่ระบบ) และรหัสผ่านถาวรจะถูกใช้ทุกครั้งที่คุณเข้าสู่บัญชีส่วนตัวของคุณในระบบ Sberbank Online การป้องกันระดับแรกนี้เสริมด้วยรหัสผ่านแบบใช้ครั้งเดียวที่ส่งทางข้อความ SMS

ระบบออนไลน์ของ Sberbank ใช้รหัสผ่านครั้งเดียวสองประเภท เราได้กล่าวไปแล้วสิ่งแรกคือรหัสผ่านที่ส่งไปยังโทรศัพท์มือถือที่เชื่อมต่อกับบริการ Sberbank Mobile Bank และประเภทที่สองคือการตรวจสอบรายการรหัสผ่าน 20 รายการที่ได้รับผ่านอุปกรณ์ปลายทาง
รหัสผ่านแบบครั้งเดียวที่ได้รับในรูปแบบ SMS ถือว่ามีความน่าเชื่อถือมากกว่ารหัสผ่านที่พิมพ์บนเช็ค ดังนั้นธุรกรรมบางอย่างใน Sberbank Online สามารถทำได้โดยใช้รหัสผ่านดังกล่าวเท่านั้น

เพื่อวัตถุประสงค์ด้านความปลอดภัยของธุรกรรมการชำระเงินที่กำลังดำเนินการ รหัสผ่าน SMS แบบครั้งเดียวจะถูกส่งไปยังโทรศัพท์มือถือระหว่างการดำเนินการ และข้อความ SMS ยังระบุพารามิเตอร์ของการดำเนินการตามที่กำหนดไว้สำหรับรหัสผ่านนี้
รหัสผ่าน SMS แบบครั้งเดียวจะใช้ได้เพื่อยืนยันธุรกรรมเฉพาะเท่านั้น เมื่อสร้างรหัสผ่านครั้งเดียวครั้งถัดไปที่ได้รับผ่าน Mobile Banking ข้อมูลเกี่ยวกับรหัสผ่านก่อนหน้าจะถูกทำลาย

รหัสผ่านแบบครั้งเดียวใดดีที่สุดที่จะใช้?

หากการ์ดเชื่อมต่อกับบริการ Mobile Bank เมื่อลงชื่อเข้าใช้บัญชีส่วนตัวของคุณ คุณจะต้องระบุรหัสผ่านแบบครั้งเดียวที่ส่งเป็น SMS อย่างแน่นอน ถัดไปหลังจากเข้าสู่ระบบ คุณจะมีโอกาสเลือกวิธียืนยันธุรกรรมโดยใช้รหัสผ่านแบบครั้งเดียวหรือรหัสผ่านจากเช็ค โดยมีเงื่อนไขว่าการยืนยันการดำเนินการนี้สามารถดำเนินการได้ด้วยรหัสผ่านแบบใช้ครั้งเดียวประเภทใดก็ได้ที่อธิบายไว้
สะดวกมาก เนื่องจากบางครั้งการสื่อสารเคลื่อนที่อาจ "ล้มเหลว" หรือทำให้ข้อความ SMS ล่าช้าได้ เนื่องจากรหัสผ่านแบบใช้ครั้งเดียวนั้นใช้ได้เพียง 300 วินาทีเท่านั้น จากนั้นคุณสามารถใช้รหัสผ่านจากการตรวจสอบได้


ในกรณีนี้ หน้าต่างลักษณะนี้จะปรากฏขึ้น โดยจะระบุหมายเลขซีเรียลของรหัสผ่านแบบใช้ครั้งเดียว ขีดฆ่ารหัสผ่านที่ "ใช้แล้ว" หรือทำเครื่องหมายในช่อง นี่เป็นสิ่งจำเป็นเพื่อให้คุณทราบจำนวนรหัสผ่านที่เหลืออยู่ในเช็ค และรับรายการใหม่ที่ตู้ ATM ได้ทันเวลา

บทความนี้มีวัตถุประสงค์เพื่อให้ข้อมูลเท่านั้นและไม่มีรายละเอียดทั้งหมดเกี่ยวกับระบบ Sberbank Online คุณสามารถดูข้อมูลรายละเอียดเพิ่มเติมได้จากเว็บไซต์ของธนาคาร
โปรดทราบวันที่ตีพิมพ์ด้วย อาจเป็นไปได้ว่าข้อมูลบางส่วนมีการเปลี่ยนแปลงหรือล้าสมัยภายในเวลานี้
วันที่ตีพิมพ์: 18/10/2015


การเข้าสู่ระบบของผู้ใช้ใช้เพื่อเข้าสู่ระบบ Sberbank Online วิธีสร้างข้อมูลเข้าสู่ระบบเพื่อเข้าสู่บัญชีส่วนตัวของคุณ


Sberbank Online เป็นบริการที่ทันสมัยสำหรับการให้บริการระยะไกลของลูกค้า Sberbank ผ่านทางอินเทอร์เน็ต ความสามารถของระบบออนไลน์ Sberbank


โอนจากการ์ดหนึ่งไปยังอีกการ์ดใน Sberbank Online จำนวนค่าคอมมิชชั่นสำหรับการโอนเงินผ่าน Sberbank Online

การรับ ID ผู้ใช้และรหัสผ่านแบบใช้ครั้งเดียวผ่านตู้ ATM หรือการใช้งานเอสเอ็มเอส

รหัสผ่านครั้งเดียวผ่านตู้ ATM

คุณยังสามารถรับ ID ผู้ใช้และรหัสผ่านถาวรได้โดยใช้อุปกรณ์บริการตนเองของ Sberbankใส่การ์ดและป้อนรหัส PIN ต่อไปในรายการเลือกรายการ "เชื่อมต่อ Sberbank Online และ Mobile Bank" ไปที่หน้าใหม่ ที่นี่คุณจะต้องคลิกที่แท็บ "พิมพ์รหัสผ่านครั้งเดียว" และรับรหัสผ่านในรูปแบบของใบเสร็จรับเงิน

หากคุณยังไม่ได้เชื่อมต่อกับระบบ ให้เลือกรายการ "พิมพ์ ID และรหัสผ่าน" ก่อน และรับข้อมูลนี้ในใบเสร็จรับเงิน หลังจากนั้น ให้ใส่การ์ดอีกครั้ง ป้อนรหัส PIN และทำซ้ำขั้นตอนทั้งหมดที่อธิบายไว้ข้างต้น

รหัสผ่านครั้งเดียวผ่านทาง SMS

เพื่อความปลอดภัย เมื่อเข้าสู่ระบบหรือดำเนินการที่มีความเสี่ยง การตรวจสอบผู้ใช้เพิ่มเติมจะดำเนินการโดยใช้รหัสผ่านแบบใช้ครั้งเดียว

ลูกค้าที่ใช้บริการธนาคารบนมือถือสามารถรับรหัสผ่านแบบใช้ครั้งเดียวได้ ธนาคารจะส่งรหัสผ่านแบบใช้ครั้งเดียวไปยังอุปกรณ์มือถือของผู้ใช้ระหว่างการทำธุรกรรม ผู้ใช้จะได้รับข้อความ SMS ที่ระบุพารามิเตอร์ของการดำเนินการที่ต้องการใช้รหัสผ่าน โปรดทราบว่ารหัสผ่านแบบใช้ครั้งเดียวจะต้องถูกใช้ภายใน 5 นาที และเพื่อยืนยันการดำเนินการบางอย่างให้เสร็จสิ้นเท่านั้น

ความสนใจ! ก่อนที่จะป้อนรหัสผ่านแบบครั้งเดียว คุณต้องตรวจสอบรายละเอียดการดำเนินการตามรายละเอียดที่ระบุไว้ในข้อความ SMS หากคุณได้รับข้อความในนามของ Sberbank พร้อมรายละเอียดธุรกรรมที่คุณไม่ได้ดำเนินการ อย่าป้อนรหัสผ่านแบบใช้ครั้งเดียวลงในแบบฟอร์มที่เหมาะสม และอย่าบอกรหัสผ่านดังกล่าวให้ใครทราบ แม้ว่าคุณจะได้รับการติดต่อในนามของพนักงานของ Sberbank ก็ตาม

ตัวอย่าง SMS ในกรณีที่ดำเนินการสร้างเทมเพลตการชำระเงิน

54321 เป็นรหัสผ่านแบบใช้ครั้งเดียวที่ใช้ยืนยันการสร้างเทมเพลต

ตัวอย่าง SMS สำหรับการดำเนินการถ่ายโอน

54321 — รหัสผ่านแบบใช้ครั้งเดียวเพื่อยืนยันการโอน

ตัวอย่าง SMS สำหรับธุรกรรมการชำระเงิน

54321 — รหัสผ่านแบบใช้ครั้งเดียวเพื่อยืนยันการชำระเงิน

การยืนยันธุรกรรมด้วยรหัสผ่านแบบใช้ครั้งเดียว:

เพื่อยืนยันการดำเนินการ ข้อความจะถูกส่งไปยังโทรศัพท์ที่เชื่อมต่อกับบริการธนาคารบนมือถือพร้อมพารามิเตอร์การดำเนินการและรหัสผ่านเพื่อยืนยัน


เพื่อให้การดำเนินการเสร็จสมบูรณ์ คุณต้องป้อนรหัสผ่านในช่องที่เหมาะสมแล้วคลิกปุ่ม ยืนยัน.

เราหวังว่าคุณจะสามารถรับรหัสผ่านแบบครั้งเดียวจาก Sberbank ได้