รหัสผ่านครั้งเดียว รหัสผ่านครั้งเดียว ตัวอย่างการนำ OTP ไปใช้

การรับ ID ผู้ใช้และรหัสผ่านแบบใช้ครั้งเดียวผ่านตู้ ATM หรือการใช้งานเอสเอ็มเอส

รหัสผ่านครั้งเดียวผ่านตู้ ATM

คุณยังสามารถรับ ID ผู้ใช้และรหัสผ่านถาวรได้โดยใช้อุปกรณ์บริการตนเองของ Sberbankใส่การ์ดและป้อนรหัส PIN ต่อไปในรายการเลือกรายการ "เชื่อมต่อ Sberbank Online และ Mobile Bank" ไปที่หน้าใหม่ ที่นี่คุณจะต้องคลิกที่แท็บ "พิมพ์รหัสผ่านครั้งเดียว" และรับรหัสผ่านในรูปแบบของใบเสร็จรับเงิน

หากคุณยังไม่ได้เชื่อมต่อกับระบบ ให้เลือกรายการ "พิมพ์ ID และรหัสผ่าน" ก่อน และรับข้อมูลนี้ในใบเสร็จรับเงิน หลังจากนั้น ให้ใส่การ์ดอีกครั้ง ป้อนรหัส PIN และทำซ้ำขั้นตอนทั้งหมดที่อธิบายไว้ข้างต้น

รหัสผ่านครั้งเดียวผ่านทาง SMS

เพื่อความปลอดภัย เมื่อเข้าสู่ระบบหรือดำเนินการที่มีความเสี่ยง การตรวจสอบผู้ใช้เพิ่มเติมจะดำเนินการโดยใช้รหัสผ่านแบบใช้ครั้งเดียว

ลูกค้าที่ใช้บริการธนาคารบนมือถือสามารถรับรหัสผ่านแบบใช้ครั้งเดียวได้ ธนาคารจะส่งรหัสผ่านแบบใช้ครั้งเดียวไปยังอุปกรณ์มือถือของผู้ใช้ระหว่างการทำธุรกรรม ผู้ใช้จะได้รับข้อความ SMS ที่ระบุพารามิเตอร์ของการดำเนินการที่ต้องการใช้รหัสผ่าน โปรดทราบว่ารหัสผ่านแบบใช้ครั้งเดียวจะต้องถูกใช้ภายใน 5 นาที และเพื่อยืนยันการดำเนินการบางอย่างให้เสร็จสิ้นเท่านั้น

ความสนใจ! ก่อนที่จะป้อนรหัสผ่านแบบครั้งเดียว คุณต้องตรวจสอบรายละเอียดการดำเนินการตามรายละเอียดที่ระบุไว้ในข้อความ SMS หากคุณได้รับข้อความในนามของ Sberbank พร้อมรายละเอียดธุรกรรมที่คุณไม่ได้ดำเนินการ อย่าป้อนรหัสผ่านแบบใช้ครั้งเดียวลงในแบบฟอร์มที่เหมาะสม และอย่าบอกรหัสผ่านดังกล่าวให้ใครทราบ แม้ว่าคุณจะได้รับการติดต่อในนามของพนักงานของ Sberbank ก็ตาม

ตัวอย่าง SMS ในกรณีที่ดำเนินการสร้างเทมเพลตการชำระเงิน

54321 เป็นรหัสผ่านแบบใช้ครั้งเดียวที่ใช้ยืนยันการสร้างเทมเพลต

ตัวอย่าง SMS สำหรับการดำเนินการถ่ายโอน

54321 — รหัสผ่านแบบใช้ครั้งเดียวเพื่อยืนยันการโอน

ตัวอย่าง SMS สำหรับธุรกรรมการชำระเงิน

54321 — รหัสผ่านแบบใช้ครั้งเดียวเพื่อยืนยันการชำระเงิน

การยืนยันธุรกรรมด้วยรหัสผ่านแบบใช้ครั้งเดียว:

เพื่อยืนยันการดำเนินการ ข้อความจะถูกส่งไปยังโทรศัพท์ที่เชื่อมต่อกับบริการธนาคารบนมือถือพร้อมพารามิเตอร์การดำเนินการและรหัสผ่านเพื่อยืนยัน


เพื่อให้การดำเนินการเสร็จสมบูรณ์ คุณต้องป้อนรหัสผ่านในช่องที่เหมาะสมแล้วคลิกปุ่ม ยืนยัน.

เราหวังว่าคุณจะสามารถรับรหัสผ่านแบบครั้งเดียวจาก Sberbank ได้

การศึกษาล่าสุดแสดงให้เห็นว่าหนึ่งในปัญหาที่ร้ายแรงที่สุดสำหรับบริษัทในด้านความปลอดภัยของข้อมูลคือการเข้าถึงระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต ตามการสำรวจอาชญากรรมทางคอมพิวเตอร์และความมั่นคงของ CSI/FBI ปี 2548 ปีที่แล้ว 55% ของบริษัทรายงานเหตุการณ์ที่เกี่ยวข้องกับการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ยิ่งไปกว่านั้น ในปีเดียวกัน บริษัทต่างๆ สูญเสียเงินโดยเฉลี่ย 303,000 ดอลลาร์สหรัฐฯ เนื่องจากการเข้าถึงโดยไม่ได้รับอนุญาต และการสูญเสียเพิ่มขึ้นหกเท่าเมื่อเทียบกับปี 2547

โดยปกติแล้ว สำหรับบริษัทในรัสเซีย ตัวเลขการสูญเสียจะแตกต่างไปจากเดิมอย่างสิ้นเชิง แต่สิ่งนี้ไม่ได้ช่วยแก้ปัญหานั้นเอง การเข้าถึงโดยไม่ได้รับอนุญาตจะสร้างความเสียหายร้ายแรงให้กับบริษัท ไม่ว่าฝ่ายบริหารจะทราบหรือไม่ก็ตาม

เป็นที่ชัดเจนว่าความน่าเชื่อถือของการป้องกันภัยคุกคามนี้ขึ้นอยู่กับคุณภาพของระบบการตรวจสอบสิทธิ์ผู้ใช้เป็นหลัก ทุกวันนี้ การพูดถึงความปลอดภัยของข้อมูลโดยไม่ต้องอ้างอิงถึงการเข้าถึงส่วนบุคคลและการติดตามการกระทำของผู้ใช้ทั้งหมดบนเครือข่ายนั้นไม่สมเหตุสมผลเลย อย่างไรก็ตาม เมื่อพูดถึงการตรวจสอบสิทธิ์ผู้ใช้บนคอมพิวเตอร์ที่รวมอยู่ในเครือข่ายท้องถิ่นขององค์กร ก็ไม่มีปัญหาใดเป็นพิเศษ ตลาดนำเสนอโซลูชันที่แตกต่างกันมากมาย รวมถึงสมาร์ทการ์ดและกุญแจอิเล็กทรอนิกส์ เครื่องมือตรวจสอบสิทธิ์ไบโอเมตริกซ์ และแม้แต่สิ่งแปลกใหม่ เช่น รหัสผ่านแบบกราฟิก

สิ่งต่างๆ จะแตกต่างไปบ้างหากผู้ใช้จำเป็นต้องเชื่อมต่อกับเครือข่ายคอมพิวเตอร์ขององค์กรจากระยะไกล เช่น ผ่านทางอินเทอร์เน็ต ในกรณีนี้เขาอาจประสบปัญหาหลายประการซึ่งเราจะพิจารณาในรายละเอียดเพิ่มเติม

ข้อผิดพลาดในการเข้าถึงระยะไกล

เมื่ออยู่ในสภาพแวดล้อมที่ไม่น่าเชื่อถือ (นอกสำนักงาน) ผู้ใช้ต้องเผชิญกับความจำเป็นในการป้อนรหัสผ่านจากคอมพิวเตอร์ของผู้อื่น (เช่นจากร้านอินเทอร์เน็ต) รหัสผ่านจะถูกแคช เช่นเดียวกับข้อมูลอื่น ๆ ที่ป้อนลงในคอมพิวเตอร์ และหากต้องการ บุคคลอื่นสามารถใช้เพื่อวัตถุประสงค์ที่เห็นแก่ตัวของตนเองได้

สิ่งที่พบได้บ่อยในปัจจุบันคือการฉ้อโกงคอมพิวเตอร์ประเภทหนึ่งที่เรียกว่าการดมกลิ่น (จากการดมกลิ่นในภาษาอังกฤษ - การดมกลิ่น) - การสกัดกั้นแพ็กเก็ตเครือข่ายโดยผู้โจมตีเพื่อระบุข้อมูลที่เขาสนใจ เมื่อใช้เทคนิคนี้ แฮกเกอร์สามารถดมรหัสผ่านของผู้ใช้และใช้เพื่อการเข้าถึงที่ไม่ได้รับอนุญาต

การป้องกันด้วยรหัสผ่านอย่างง่าย (โดยเฉพาะในระหว่างการเข้าถึงระยะไกล) ได้รับการทดสอบอย่างจริงจังโดยไวรัสสปายแวร์รุ่นใหม่ที่จะเข้าสู่คอมพิวเตอร์ของผู้ใช้อย่างเงียบ ๆ ระหว่างการ "เปลี่ยน" เว็บเพจตามปกติ สามารถตั้งโปรแกรมไวรัสให้กรองการไหลของข้อมูลของคอมพิวเตอร์เครื่องใดเครื่องหนึ่งเพื่อระบุชุดอักขระที่สามารถใช้เป็นรหัสผ่านได้ สายลับส่งชุดค่าผสมเหล่านี้ไปให้ผู้สร้าง และสิ่งที่เหลืออยู่สำหรับเขาในการระบุรหัสผ่านที่จำเป็น

เป็นที่ชัดเจนว่าวิธีการฮาร์ดแวร์ในการจัดการการเข้าถึงเครือข่ายอย่างปลอดภัยนั้นมีความน่าเชื่อถือมากกว่ารหัสผ่านธรรมดาหลายเท่า แต่จะใช้สมาร์ทการ์ดหรือคีย์ USB ได้อย่างไรในขณะที่ไม่อยู่ที่สำนักงาน เป็นไปได้มากว่าสิ่งนี้จะไม่สำเร็จเนื่องจากอุปกรณ์ตัวแรกต้องการเครื่องอ่านอย่างน้อยอุปกรณ์ที่สองต้องใช้พอร์ต USB ซึ่งอาจถูกบล็อก (ร้านอินเทอร์เน็ต) หรือแย่กว่านั้นคืออาจไม่อยู่ในอุปกรณ์ที่ผู้ใช้อยู่ พยายามรับการเข้าถึง (PDA โทรศัพท์มือถือ สมาร์ทโฟน ฯลฯ) ไม่จำเป็นต้องพูดว่าเพื่อให้ฮาร์ดแวร์ - สมาร์ทการ์ดและคีย์ USB ทำงานได้คุณต้องมีซอฟต์แวร์ที่เหมาะสมซึ่งแทบจะไม่สามารถติดตั้งในอินเทอร์เน็ตคาเฟ่เดียวกันได้

ในขณะเดียวกัน สถานการณ์ที่จำเป็นต้องรับหรือส่งข้อมูลจากระยะไกลเกิดขึ้นค่อนข้างบ่อย ตัวอย่างเช่น ระบบธนาคารอิเล็กทรอนิกส์: เป็นเรื่องง่ายที่จะจินตนาการถึงสถานการณ์ที่ผู้ใช้จำเป็นต้องเข้าถึงทรัพยากรทางธนาคารที่ปลอดภัยเพื่อจัดการบัญชีของตนจากระยะไกล ปัจจุบัน ธนาคารบางแห่งได้ตระหนักถึงความจำเป็นในการอนุญาตฮาร์ดแวร์โดยใช้คีย์ USB แต่ด้วยเหตุผลหลายประการที่อธิบายไว้ข้างต้น จึงไม่สามารถใช้งานได้เสมอไป

ลักษณะเฉพาะของธุรกิจของบริษัทขนาดใหญ่หลายแห่งมักจะบังคับให้พวกเขาให้การเข้าถึงทรัพยากรของตนเองแก่ผู้ใช้บุคคลที่สาม - พันธมิตร ลูกค้า ซัพพลายเออร์ ปัจจุบันในรัสเซีย ความร่วมมือประเภทหนึ่ง เช่น การจัดจ้างบุคคลภายนอก กำลังได้รับแรงผลักดันอย่างมาก: บริษัทผู้รับเหมาช่วงอาจจำเป็นต้องเข้าถึงทรัพยากรที่ได้รับการคุ้มครองของลูกค้าเพื่อดำเนินการตามคำสั่งซื้อ

ความจำเป็นในการเชื่อมต่อกับเครือข่ายองค์กรโดยใช้รูปแบบการตรวจสอบความถูกต้องที่เชื่อถือได้โดยมีเพียง PDA หรือสมาร์ทโฟนในมือเท่านั้น อาจกลายเป็นปัญหาร้ายแรงได้หากผู้ใช้อยู่ในการประชุม การเจรจา หรือกิจกรรมทางธุรกิจอื่นๆ สำหรับแอปพลิเคชันบนมือถือ เช่นเดียวกับการจัดระเบียบการเข้าถึงข้อมูลที่จำเป็นจากสถานที่ที่ไม่สามารถติดตั้งซอฟต์แวร์พิเศษได้ แนวคิดของรหัสผ่านแบบใช้ครั้งเดียว OTP - รหัสผ่านแบบใช้ครั้งเดียวได้รับการพัฒนา

รหัสผ่านครั้งเดียว: ป้อนแล้วลืม

รหัสผ่านแบบใช้ครั้งเดียวคือคำสำคัญที่ถูกต้องสำหรับกระบวนการตรวจสอบสิทธิ์เดียวเท่านั้นในระยะเวลาที่จำกัด รหัสผ่านดังกล่าวช่วยแก้ปัญหาการสกัดกั้นข้อมูลหรือการแอบดูซ้ำ ๆ ได้อย่างสมบูรณ์ แม้ว่าผู้โจมตีสามารถรับรหัสผ่าน “ของเหยื่อ” ได้ แต่โอกาสในการใช้รหัสผ่านเพื่อเข้าถึงนั้นกลับเป็นศูนย์

การใช้งานครั้งแรกของแนวคิดรหัสผ่านครั้งเดียวนั้นขึ้นอยู่กับชุดคำหลักคงที่ เช่น รายการรหัสผ่าน (กุญแจ คำรหัส ฯลฯ) ถูกสร้างขึ้นครั้งแรก ซึ่งผู้ใช้สามารถใช้งานได้ กลไกที่คล้ายกันนี้ถูกใช้ในระบบธนาคารระบบแรกที่มีความสามารถในการจัดการบัญชีจากระยะไกล เมื่อเปิดใช้งานบริการนี้ ลูกค้าจะได้รับซองจดหมายพร้อมรายการรหัสผ่านของตน จากนั้นทุกครั้งที่เขาเข้าสู่ระบบ เขาจะใช้คำสำคัญถัดไป เมื่อถึงจุดสิ้นสุดของรายการ ลูกค้าก็ไปที่ธนาคารเพื่อขอรายการใหม่ โซลูชันนี้มีข้อเสียหลายประการ โดยข้อเสียหลักคือมีความน่าเชื่อถือต่ำ อย่างไรก็ตาม การพกรายการรหัสผ่านติดตัวคุณตลอดเวลาถือเป็นอันตราย ผู้โจมตีอาจสูญหายหรือถูกขโมยได้ง่าย แล้วรายการก็ไม่สิ้นสุด แต่จะเกิดอะไรขึ้นถ้าไม่สามารถไปธนาคารได้ในเวลาที่เหมาะสมล่ะ?

โชคดีที่วันนี้สถานการณ์เปลี่ยนแปลงไปอย่างมาก โดยทั่วไปแล้ว ในประเทศตะวันตก รหัสผ่านแบบใช้ครั้งเดียวสำหรับการรับรองความถูกต้องในระบบข้อมูลกลายเป็นเรื่องปกติไปแล้ว อย่างไรก็ตาม ในประเทศของเรา เทคโนโลยี OTP ยังคงไม่สามารถใช้งานได้จนกระทั่งเมื่อไม่นานมานี้ และเมื่อไม่นานมานี้ ฝ่ายบริหารของบริษัทเริ่มตระหนักว่าความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาตจะเพิ่มขึ้นมากเพียงใดเมื่อทำงานจากระยะไกล ดังที่เราทราบดีมานด์ทำให้เกิดอุปทาน ขณะนี้ผลิตภัณฑ์ที่ใช้รหัสผ่านแบบใช้ครั้งเดียวสำหรับการตรวจสอบสิทธิ์ระยะไกลได้เริ่มเข้ามาแทนที่ในตลาดรัสเซียแล้ว

เทคโนโลยีการตรวจสอบความถูกต้อง OTP สมัยใหม่ใช้การสร้างคำสำคัญแบบไดนามิกโดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง กล่าวอีกนัยหนึ่ง ข้อมูลการตรวจสอบสิทธิ์เป็นผลมาจากการเข้ารหัสค่าเริ่มต้นบางส่วนโดยใช้รหัสลับของผู้ใช้ ทั้งไคลเอนต์และเซิร์ฟเวอร์มีข้อมูลนี้ ไม่ได้ส่งผ่านเครือข่ายและไม่สามารถดักจับได้ ข้อมูลที่ทราบทั้งสองด้านของกระบวนการตรวจสอบความถูกต้องจะถูกใช้เป็นค่าเริ่มต้น และคีย์การเข้ารหัสจะถูกสร้างขึ้นสำหรับผู้ใช้แต่ละคนเมื่อเริ่มต้นในระบบ (รูปที่ 1)

เป็นที่น่าสังเกตว่าในขั้นตอนของการพัฒนาเทคโนโลยี OTP นี้ มีระบบที่ใช้การเข้ารหัสทั้งแบบสมมาตรและไม่สมมาตร ในกรณีแรกทั้งสองฝ่ายจะต้องมีรหัสลับ ประการที่สอง เฉพาะผู้ใช้เท่านั้นที่ต้องการคีย์ลับ ในขณะที่เซิร์ฟเวอร์การตรวจสอบความถูกต้องกำหนดให้คีย์ลับเป็นแบบสาธารณะ

การนำไปปฏิบัติ

เทคโนโลยี OTP ได้รับการพัฒนาโดยเป็นส่วนหนึ่งของโครงการริเริ่มอุตสาหกรรม Open Authentication (OATH) ที่เปิดตัวโดย VeriSign ในปี 2547 สาระสำคัญของโครงการริเริ่มนี้คือการพัฒนาข้อกำหนดมาตรฐานสำหรับการตรวจสอบสิทธิ์ที่แข็งแกร่งอย่างแท้จริงสำหรับบริการอินเทอร์เน็ตต่างๆ ยิ่งไปกว่านั้น เรากำลังพูดถึงการกำหนดสิทธิ์ผู้ใช้แบบสองปัจจัย ในระหว่างนั้นจะต้อง "แสดง" สมาร์ทการ์ดหรือโทเค็น USB และรหัสผ่านของเขา ดังนั้นรหัสผ่านแบบใช้ครั้งเดียวอาจกลายเป็นวิธีการมาตรฐานในการตรวจสอบสิทธิ์ระยะไกลในระบบต่างๆ ในที่สุด

ปัจจุบัน มีตัวเลือกมากมายสำหรับการนำระบบตรวจสอบสิทธิ์รหัสผ่านแบบครั้งเดียวไปใช้จริงและนำไปใช้ในทางปฏิบัติ

วิธีการตอบกลับคำขอหลักการทำงานมีดังนี้: เมื่อเริ่มต้นขั้นตอนการตรวจสอบสิทธิ์ผู้ใช้จะส่งข้อมูลเข้าสู่ระบบไปยังเซิร์ฟเวอร์ เพื่อตอบสนองต่อสิ่งนี้ ส่วนหลังจะสร้างสตริงแบบสุ่มและส่งกลับ ผู้ใช้เข้ารหัสข้อมูลนี้โดยใช้รหัสของเขาและส่งกลับไปยังเซิร์ฟเวอร์ ในขณะนี้ เซิร์ฟเวอร์ “ค้นหา” รหัสลับของผู้ใช้รายนี้ในหน่วยความจำและเข้ารหัสสตริงต้นฉบับด้วยความช่วยเหลือ ต่อไปนี้คือการเปรียบเทียบผลการเข้ารหัสทั้งสองรายการ

หากตรงกันทั้งหมด จะถือว่าการรับรองความถูกต้องสำเร็จ วิธีการใช้เทคโนโลยีรหัสผ่านครั้งเดียวนี้เรียกว่าอะซิงโครนัส เนื่องจากกระบวนการตรวจสอบสิทธิ์ไม่ได้ขึ้นอยู่กับประวัติของผู้ใช้กับเซิร์ฟเวอร์และปัจจัยอื่น ๆวิธีการ "ตอบสนองเท่านั้น"

ในกรณีนี้ อัลกอริธึมการรับรองความถูกต้องจะค่อนข้างง่ายกว่า ในช่วงเริ่มต้นของกระบวนการ ซอฟต์แวร์หรือฮาร์ดแวร์ของผู้ใช้จะสร้างข้อมูลต้นฉบับอย่างอิสระ ซึ่งจะถูกเข้ารหัสและส่งไปยังเซิร์ฟเวอร์เพื่อทำการเปรียบเทียบ ในกรณีนี้ ค่าของคำขอก่อนหน้าจะถูกใช้ในระหว่างกระบวนการสร้างแถว เซิร์ฟเวอร์ก็มีข้อมูลนี้ด้วย เมื่อทราบชื่อผู้ใช้ ระบบจะค้นหาค่าของคำขอก่อนหน้าและสร้างสตริงเดียวกันทุกประการโดยใช้อัลกอริทึมเดียวกัน เมื่อเข้ารหัสโดยใช้รหัสลับของผู้ใช้ (มันถูกเก็บไว้บนเซิร์ฟเวอร์ด้วย) เซิร์ฟเวอร์จะได้รับค่าที่ต้องตรงกับข้อมูลที่ผู้ใช้ส่งโดยสมบูรณ์ใช้การอ่านตัวจับเวลาปัจจุบันของอุปกรณ์พิเศษหรือคอมพิวเตอร์ที่บุคคลทำงานเป็นบรรทัดเริ่มต้น ในกรณีนี้ โดยปกติจะไม่ใช่การบ่งชี้เวลาที่แน่นอน แต่เป็นช่วงเวลาปัจจุบันที่มีขอบเขตที่กำหนดไว้ล่วงหน้า (เช่น 30 วินาที) ข้อมูลนี้ถูกเข้ารหัสโดยใช้รหัสลับและส่งข้อความที่ชัดเจนไปยังเซิร์ฟเวอร์พร้อมกับชื่อผู้ใช้ เมื่อได้รับคำขอการรับรองความถูกต้อง เซิร์ฟเวอร์จะดำเนินการเดียวกัน: รับเวลาปัจจุบันจากตัวจับเวลาและเข้ารหัส หลังจากนี้ สิ่งที่เขาต้องทำคือเปรียบเทียบสองค่า: ค่าที่คำนวณได้กับค่าที่ได้รับจากคอมพิวเตอร์ระยะไกล

วิธีการ "ประสานเหตุการณ์"โดยหลักการแล้ว วิธีนี้เกือบจะเหมือนกับวิธีก่อนหน้า เพียงแต่ไม่ได้ใช้เวลาเป็นสตริงเริ่มต้น แต่เป็นจำนวนขั้นตอนการตรวจสอบสิทธิ์ที่สำเร็จที่ดำเนินการก่อนวิธีปัจจุบัน

ค่านี้คำนวณโดยทั้งสองฝ่ายแยกจากกัน

บางระบบใช้สิ่งที่เรียกว่าวิธีการผสม โดยที่ใช้ข้อมูลตั้งแต่สองประเภทขึ้นไปเป็นค่าเริ่มต้น ตัวอย่างเช่น มีระบบที่คำนึงถึงทั้งตัวนับการรับรองความถูกต้องและตัวจับเวลาในตัว แนวทางนี้หลีกเลี่ยงข้อเสียหลายประการของแต่ละวิธี

ช่องโหว่ของเทคโนโลยี OTP

ช่องโหว่อีกประการหนึ่งมีอยู่ในวิธีการซิงโครนัสเท่านั้นและเกี่ยวข้องกับความจริงที่ว่ามีความเสี่ยงที่ข้อมูลจะยกเลิกการซิงโครไนซ์บนเซิร์ฟเวอร์และในซอฟต์แวร์หรือฮาร์ดแวร์ของผู้ใช้ สมมติว่าในบางระบบข้อมูลเริ่มต้นคือการอ่านตัวจับเวลาภายในและด้วยเหตุผลบางอย่างข้อมูลเหล่านี้จึงไม่ตรงกันอีกต่อไป ในกรณีนี้ ความพยายามของผู้ใช้ทั้งหมดในการตรวจสอบสิทธิ์จะล้มเหลว (ข้อผิดพลาดประเภท 1) โชคดีในกรณีเช่นนี้ ไม่สามารถเกิดข้อผิดพลาดประเภทที่สอง (การรับ "คนต่างด้าว") ได้ อย่างไรก็ตาม โอกาสที่สถานการณ์ที่อธิบายไว้จะเกิดขึ้นก็ต่ำมากเช่นกัน

การโจมตีบางอย่างใช้ได้กับการใช้งานเทคโนโลยีรหัสผ่านแบบใช้ครั้งเดียวบางอย่างเท่านั้น ตัวอย่างเช่น ลองใช้วิธีซิงโครไนซ์ตัวจับเวลาอีกครั้ง ดังที่เราได้กล่าวไปแล้ว เวลาไม่ได้คำนึงถึงความแม่นยำของวินาที แต่อยู่ในช่วงเวลาที่กำหนดไว้ โดยคำนึงถึงความเป็นไปได้ที่ตัวจับเวลาจะยกเลิกการซิงโครไนซ์ตลอดจนความล่าช้าในการส่งข้อมูล และขณะนี้เองที่ผู้โจมตีสามารถใช้ประโยชน์ในทางทฤษฎีเพื่อเข้าถึงระบบระยะไกลโดยไม่ได้รับอนุญาตได้ ประการแรก แฮกเกอร์จะ “ฟัง” การรับส่งข้อมูลเครือข่ายจากผู้ใช้ไปยังเซิร์ฟเวอร์การตรวจสอบความถูกต้อง และสกัดกั้นการเข้าสู่ระบบและรหัสผ่านแบบครั้งเดียวที่ส่งโดย “เหยื่อ” จากนั้นเขาก็บล็อกคอมพิวเตอร์ของเขาทันที (โอเวอร์โหลด ตัดการเชื่อมต่อ ฯลฯ) และส่งข้อมูลการอนุญาตจากตัวเขาเอง และหากผู้โจมตีจัดการได้อย่างรวดเร็วจนไม่มีเวลาเปลี่ยนช่วงเวลาการตรวจสอบสิทธิ์ เซิร์ฟเวอร์จะจดจำเขาเป็นผู้ใช้ที่ลงทะเบียนแล้ว

เป็นที่ชัดเจนว่าสำหรับการโจมตีดังกล่าว ผู้โจมตีจะต้องสามารถฟังการรับส่งข้อมูล รวมถึงบล็อกคอมพิวเตอร์ของลูกค้าได้อย่างรวดเร็ว และนี่ไม่ใช่งานง่าย วิธีที่ง่ายที่สุดในการปฏิบัติตามเงื่อนไขเหล่านี้เมื่อมีการวางแผนการโจมตีล่วงหน้า และ "เหยื่อ" จะใช้คอมพิวเตอร์จากเครือข่ายท้องถิ่นของบุคคลอื่นเพื่อเชื่อมต่อกับระบบระยะไกล ในกรณีนี้แฮ็กเกอร์สามารถ "ทำงาน" บนพีซีเครื่องใดเครื่องหนึ่งล่วงหน้า และได้รับโอกาสในการควบคุมเครื่องจากเครื่องอื่น คุณสามารถป้องกันตัวเองจากการโจมตีดังกล่าวได้โดยใช้เครื่องทำงาน "ที่เชื่อถือได้" เท่านั้น (เช่น แล็ปท็อปหรือ PDA ของคุณเอง) และช่องทางที่ปลอดภัย "อิสระ" (เช่น การใช้ SSL) ในการเข้าถึงอินเทอร์เน็ต

คุณภาพการดำเนินงาน

ความน่าเชื่อถือของระบบรักษาความปลอดภัยส่วนใหญ่ขึ้นอยู่กับคุณภาพของการใช้งาน โซลูชันที่ใช้งานได้จริงทั้งหมดมีข้อบกพร่องของตัวเองซึ่งผู้โจมตีสามารถใช้ประโยชน์เพื่อวัตถุประสงค์ของตนเองได้ และ "ช่องโหว่" เหล่านี้มักไม่เกี่ยวข้องโดยตรงกับเทคโนโลยีที่กำลังใช้งาน กฎนี้ใช้ได้กับระบบการตรวจสอบสิทธิ์ที่ใช้รหัสผ่านแบบใช้ครั้งเดียวโดยสมบูรณ์ ดังที่ได้กล่าวไว้ข้างต้น สิ่งเหล่านี้ขึ้นอยู่กับการใช้อัลกอริธึมการเข้ารหัส สิ่งนี้กำหนดภาระผูกพันบางประการให้กับผู้พัฒนาผลิตภัณฑ์ดังกล่าว - ท้ายที่สุดแล้ว การดำเนินการอัลกอริทึมใด ๆ ที่มีคุณภาพต่ำหรือตัวอย่างเช่น ตัวสร้างตัวเลขสุ่มอาจเป็นอันตรายต่อความปลอดภัยของข้อมูล

เครื่องสร้างรหัสผ่านแบบครั้งเดียวมีการใช้งานสองวิธี: ซอฟต์แวร์และฮาร์ดแวร์ ประการแรกมีความน่าเชื่อถือน้อยกว่าโดยธรรมชาติ ความจริงก็คือยูทิลิตี้ไคลเอนต์จะต้องเก็บรหัสลับของผู้ใช้ ซึ่งสามารถทำได้อย่างปลอดภัยไม่มากก็น้อยโดยการเข้ารหัสคีย์ตามรหัสผ่านส่วนตัวเท่านั้น จำเป็นต้องคำนึงว่าจะต้องติดตั้งยูทิลิตี้ไคลเอนต์บนอุปกรณ์ (PDA, สมาร์ทโฟน ฯลฯ ) ที่เซสชั่นกำลังทำงานอยู่ ดังนั้นปรากฎว่าการรับรองความถูกต้องของพนักงานขึ้นอยู่กับรหัสผ่านเดียว แม้ว่าจะมีหลายวิธีในการค้นหาหรือคาดเดาก็ตาม และนี่ยังห่างไกลจากช่องโหว่เพียงจุดเดียวของซอฟต์แวร์สร้างรหัสผ่านแบบใช้ครั้งเดียว

อุปกรณ์ต่างๆ สำหรับการใช้งานฮาร์ดแวร์ของเทคโนโลยี OTP มีความน่าเชื่อถือมากกว่าอย่างไม่มีที่เปรียบ ตัวอย่างเช่น มีอุปกรณ์ที่ดูเหมือนเครื่องคิดเลข (รูปที่ 2): เมื่อคุณป้อนชุดตัวเลขที่เซิร์ฟเวอร์ส่งมา อุปกรณ์เหล่านั้นจะสร้างรหัสผ่านแบบใช้ครั้งเดียวตามรหัสลับที่ฝังไว้ ("คำขอ-ตอบกลับ" " วิธี). ช่องโหว่หลักของอุปกรณ์ดังกล่าวคืออุปกรณ์อาจถูกขโมยหรือสูญหายได้ คุณสามารถรักษาความปลอดภัยระบบจากผู้โจมตีได้ก็ต่อเมื่อคุณใช้การป้องกันหน่วยความจำของอุปกรณ์ที่เชื่อถือได้ด้วยรหัสลับ

ข้าว. 2. อุปกรณ์ RSA SecurID OTP

นี่เป็นแนวทางที่ใช้ในสมาร์ทการ์ดและโทเค็น USB ในการเข้าถึงหน่วยความจำ ผู้ใช้ต้องป้อนรหัส PIN ให้เราเพิ่มว่าอุปกรณ์ดังกล่าวได้รับการปกป้องจากการคาดเดารหัส PIN: หากป้อนค่าผิดสามครั้งอุปกรณ์เหล่านั้นจะถูกบล็อก การจัดเก็บข้อมูลสำคัญที่เชื่อถือได้ การสร้างฮาร์ดแวร์ของคู่คีย์ และประสิทธิภาพของการดำเนินการเข้ารหัสในสภาพแวดล้อมที่เชื่อถือได้ (บนชิปสมาร์ทการ์ด) ไม่อนุญาตให้ผู้โจมตีแยกคีย์ลับและสร้างสำเนาของอุปกรณ์สร้างรหัสผ่านแบบใช้ครั้งเดียว

ตัวอย่างการนำ OTP ไปใช้

ดังนั้นสมาร์ทการ์ดและโทเค็น USB จึงถือเป็นเครื่องสร้างรหัสผ่านครั้งเดียวที่น่าเชื่อถือที่สุด ซึ่งได้รับการปกป้องจากช่องโหว่ในการใช้งานเกือบทั้งหมด ยิ่งไปกว่านั้นอย่างหลังยังสะดวกกว่าอย่างชัดเจน: สามารถใช้กับพีซีหรือแล็ปท็อปเครื่องใดก็ได้โดยไม่ต้องใช้อุปกรณ์อ่านเพิ่มเติมที่จำเป็นสำหรับสมาร์ทการ์ด นอกจากนี้ยังมีการใช้คีย์ USB พร้อมเทคโนโลยี OTP ซึ่งสามารถทำงานได้โดยไม่ต้องใช้พอร์ต USB ตัวอย่างของรหัสอิเล็กทรอนิกส์ดังกล่าวคือ eToken NG-OTP จาก Aladdin (รูปที่ 3)

เป็นที่น่าสังเกตว่า Aladdin (http://www.aladdin.com) มีส่วนร่วมอย่างแข็งขันในการส่งเสริมโครงการริเริ่ม OATH ที่กล่าวถึงข้างต้น และกุญแจสำคัญที่กล่าวถึงในที่นี้ได้รับเลือกให้เป็นองค์ประกอบหลักของโซลูชัน VeriSign Unified Authentication จริงอยู่ ระบบนี้มีชื่อเรียกต่างกันออกไป: eToken VeriSign วัตถุประสงค์หลักของโซลูชันนี้คือเพื่อเพิ่มความมั่นใจในการทำธุรกรรมที่สรุปผ่านทางอินเทอร์เน็ต และขึ้นอยู่กับการตรวจสอบสิทธิ์แบบสองปัจจัยที่เข้มงวดโดยใช้คีย์ฮาร์ดแวร์ การส่งมอบผลิตภัณฑ์ eToken NG-OTP ดังกล่าวเป็นเครื่องยืนยันคุณภาพและความสอดคล้องกับข้อกำหนด OATH ทั้งหมด

อุปกรณ์ซีรีส์ eToken ค่อนข้างแพร่หลายในรัสเซีย ผู้ผลิตชั้นนำ เช่น Microsoft, Cisco, Oracle, Novell ฯลฯ ให้การสนับสนุนในผลิตภัณฑ์ของตน (eToken มีการใช้งานมากกว่า 200 รายการพร้อมแอปพลิเคชันความปลอดภัยของข้อมูลในประวัติ)

ดังนั้น eToken NG-OTP จึงใช้คีย์ฮาร์ดแวร์อื่น โดยรุ่นที่ได้รับความนิยมมากที่สุดในกลุ่มนี้คือ eToken PRO เป็นโทเค็นเต็มรูปแบบที่ใช้ชิปสมาร์ทการ์ดพร้อมหน่วยความจำที่ได้รับการป้องกัน ซึ่งสามารถนำไปใช้จัดเก็บข้อมูลสำคัญ โปรไฟล์ผู้ใช้ และข้อมูลที่เป็นความลับอื่นๆ อย่างปลอดภัย สำหรับการคำนวณการเข้ารหัสด้วยฮาร์ดแวร์ และการทำงานกับคีย์แบบอสมมาตรและใบรับรอง X.509 .

นอกเหนือจากโมดูลที่ใช้ความสามารถที่อธิบายไว้ข้างต้นแล้ว คีย์ eToken NG-OTP ยังมีตัวสร้างรหัสผ่านแบบฮาร์ดแวร์แบบครั้งเดียว (รูปที่ 4) มันทำงานโดยใช้วิธี "การซิงโครไนซ์เหตุการณ์" นี่คือการนำเทคโนโลยี OTP ไปใช้ที่เชื่อถือได้มากที่สุดในบรรดาตัวเลือกแบบซิงโครนัส (โดยมีความเสี่ยงน้อยกว่าในการดีซิงโครไนซ์) อัลกอริธึมการสร้างรหัสผ่านแบบครั้งเดียวที่ใช้ในคีย์ eToken NG-OTP ได้รับการพัฒนาโดยเป็นส่วนหนึ่งของโครงการริเริ่ม OATH (ใช้เทคโนโลยี HMAC) สิ่งสำคัญคือการคำนวณค่า HMAC-SHA-1 จากนั้นดำเนินการตัดทอน (เลือก) ตัวเลขหกหลักจากค่า 160 บิตที่ได้ พวกเขาคือผู้ที่ทำหน้าที่เป็นรหัสผ่านแบบใช้ครั้งเดียว

คุณสมบัติที่น่าสนใจของคีย์รวม eToken NG-OTP คือความสามารถในการใช้รหัสผ่านแบบครั้งเดียวแม้ว่าจะไม่ได้เชื่อมต่อคีย์กับคอมพิวเตอร์ก็ตาม กระบวนการสร้าง OTP สามารถเริ่มต้นได้โดยการกดปุ่มพิเศษที่อยู่บนตัวเครื่อง (รูปที่ 5) และผลลัพธ์ในกรณีนี้จะแสดงบนจอ LCD ในตัว วิธีการนี้ช่วยให้คุณสามารถใช้เทคโนโลยี OTP ได้แม้บนอุปกรณ์ที่ไม่มีพอร์ต USB (สมาร์ทโฟน, PDA, โทรศัพท์มือถือ ฯลฯ) และบนคอมพิวเตอร์ที่ถูกบล็อก

สิ่งที่น่าเชื่อถือที่สุดคือโหมดการทำงานแบบผสมของคีย์ที่เป็นปัญหา หากต้องการใช้งาน อุปกรณ์จะต้องเชื่อมต่อกับพีซี ที่นี่เรากำลังพูดถึงการรับรองความถูกต้องด้วยสองปัจจัยซึ่งมีการใช้งานหลายวิธี ในกรณีหนึ่ง ในการเข้าถึงเครือข่าย จำเป็นต้องใช้รหัสผ่านของผู้ใช้เองในการเข้าใช้งาน รวมถึงค่า OTP ตัวเลือกอื่นต้องใช้รหัสผ่านแบบใช้ครั้งเดียวและค่า OTP PIN (แสดงบนหน้าจอหลัก)

โดยปกติแล้ว คีย์ eToken NG-OTP สามารถทำงานเป็นโทเค็น USB มาตรฐานได้ - สำหรับการตรวจสอบผู้ใช้โดยใช้ใบรับรองดิจิทัลและเทคโนโลยี PKI สำหรับจัดเก็บคีย์ส่วนบุคคล ฯลฯ ดังนั้นจึงแนะนำให้ใช้ผลิตภัณฑ์ที่เป็นปัญหาในโครงการต่างๆ ที่เกี่ยวข้อง ความต้องการการเข้าถึงระยะไกลที่ปลอดภัยและการตรวจสอบสิทธิ์แบบสองปัจจัย การใช้คีย์ไฮบริดดังกล่าวในระดับองค์กรทำให้ผู้ใช้สามารถทำงานกับคีย์ของตนทั้งในสำนักงานและภายนอกได้ แนวทางนี้ช่วยลดต้นทุนในการสร้างระบบรักษาความปลอดภัยข้อมูลโดยไม่ลดความน่าเชื่อถือ

มาสรุปกัน

ดังนั้น แนวคิดของรหัสผ่าน OTP แบบครั้งเดียวควบคู่ไปกับเทคนิคการเข้ารหัสสมัยใหม่จึงสามารถนำมาใช้เพื่อสร้างระบบการตรวจสอบสิทธิ์ระยะไกลที่เชื่อถือได้ได้ เทคโนโลยีนี้มีข้อดีหลายประการ ประการแรกคือความน่าเชื่อถือ ปัจจุบันมีวิธีการพิสูจน์ตัวตนผู้ใช้ที่ "เข้มงวด" เพียงไม่กี่วิธีที่ทราบเมื่อส่งข้อมูลผ่านช่องทางการสื่อสารแบบเปิด ในขณะเดียวกันปัญหานี้ก็เกิดขึ้นบ่อยขึ้นเรื่อยๆ และรหัสผ่านแบบใช้ครั้งเดียวก็เป็นหนึ่งในโซลูชั่นที่น่าหวังที่สุด

ข้อได้เปรียบประการที่สองของรหัสผ่านแบบใช้ครั้งเดียวคือการใช้อัลกอริธึมการเข้ารหัส "มาตรฐาน" ซึ่งหมายความว่าการพัฒนาที่มีอยู่เหมาะสมอย่างยิ่งสำหรับการนำระบบการรับรองความถูกต้องไปใช้โดยใช้ OTP ตามความเป็นจริง สิ่งนี้ได้รับการพิสูจน์อย่างชัดเจนด้วยคีย์ eToken NG-OTP เดียวกัน ซึ่งเข้ากันได้กับผู้ให้บริการ crypto ในประเทศ โทเค็นดังกล่าวสามารถใช้ในระบบรักษาความปลอดภัยขององค์กรที่มีอยู่ได้โดยไม่ต้องสร้างใหม่ เป็นผลให้การนำเทคโนโลยีรหัสผ่านแบบใช้ครั้งเดียวไปใช้สามารถทำได้ด้วยต้นทุนที่ค่อนข้างต่ำ

ข้อดีอีกประการของรหัสผ่านแบบใช้ครั้งเดียวคือการป้องกันนั้นขึ้นอยู่กับปัจจัยของมนุษย์เพียงเล็กน้อย จริงอยู่ สิ่งนี้ใช้ไม่ได้กับการใช้งานทั้งหมด ดังที่เราได้กล่าวไปแล้ว ความน่าเชื่อถือของโปรแกรมรหัสผ่านแบบครั้งเดียวจำนวนมากขึ้นอยู่กับคุณภาพของรหัส PIN ที่ใช้ เครื่องกำเนิดฮาร์ดแวร์ที่ใช้โทเค็น USB ใช้การตรวจสอบสิทธิ์แบบสองปัจจัยเต็มรูปแบบ และสุดท้าย ข้อได้เปรียบประการที่สี่ของแนวคิด OTP ก็คือความสะดวกสำหรับผู้ใช้ การเข้าถึงข้อมูลที่จำเป็นโดยใช้รหัสผ่านแบบครั้งเดียวนั้นไม่ยากไปกว่าการใช้คำหลักคงที่เพื่อจุดประสงค์นี้ สิ่งที่ดีอย่างยิ่งคือการใช้งานฮาร์ดแวร์บางอย่างของเทคโนโลยีที่กล่าวถึงนี้สามารถใช้กับอุปกรณ์ใดก็ได้ โดยไม่คำนึงถึงพอร์ตและซอฟต์แวร์ที่ติดตั้งอยู่

ปัจจุบันผู้คนมักใช้บริการธนาคารทางอินเทอร์เน็ตเพื่อชำระค่าใช้จ่าย ค่าเลี้ยงดู และเงินกู้ เทคโนโลยีใหม่ช่วยให้บุคคลที่นั่งอยู่หน้าคอมพิวเตอร์สามารถเปิดบัญชีหรือฝากเงินและตรวจสอบยอดเงินในบัตรของเขาได้ การใช้บริการธนาคารทางอินเทอร์เน็ตช่วยให้คุณประหยัดเวลาได้มากโดยไม่ต้องใช้เงินกับค่าคอมมิชชั่นในกรณีส่วนใหญ่ สิ่งที่คุณต้องมีคือเข้าถึงบัญชีส่วนตัวของคุณในระบบ Sberbank Online

ไม่ใช่ทุกคนที่รู้วิธีรับรายการรหัสผ่านแบบใช้ครั้งเดียวเพื่อวัตถุประสงค์ในการยืนยันธุรกรรมเพิ่มเติมจากบัญชีส่วนตัวของ Sberbank

ความจำเป็นในการได้รับข้อมูลประจำตัว

ในการทำธุรกรรมด้วยบัญชีและบัตร บุคคลจะต้องได้รับรหัสผ่านถาวรก่อน ซึ่งสามารถทำได้หลายวิธี เช่น ติดต่อสาขาของธนาคาร คนส่วนใหญ่ใช้ตู้เอทีเอ็มเพื่อรับข้อมูล

การสร้างเกิดขึ้นโดยอัตโนมัติตามคำขอของผู้ถือบัตร ข้อมูลสามารถเปลี่ยนแปลงได้ในภายหลัง เป็นการดีที่สุดที่จะใช้ชุดค่าผสมที่ซับซ้อนเพื่อเพิ่มระดับความปลอดภัยของบัญชีส่วนตัวของคุณ

ทำไมคุณถึงต้องใช้รหัสผ่านแบบใช้ครั้งเดียว?

จำเป็นต้องใช้รหัสผ่านแบบใช้ครั้งเดียวเพื่อยืนยันตัวตนของลูกค้า Sberbank เพิ่มเติม จำเป็นต้องมีระบบการระบุตัวตนดังกล่าว:

  1. เมื่อเข้าสู่บัญชีส่วนตัวของคุณ
  2. เมื่อดำเนินการต่าง ๆ ด้วยบัตร เงินฝาก บัญชีของคุณผ่านระบบธนาคารทางอินเทอร์เน็ต

รหัสผ่านแบบใช้ครั้งเดียวมีประเภทต่อไปนี้:

  • เช็คที่พิมพ์โดยใช้ตู้เอทีเอ็มหรือเครื่องปลายทาง (ประกอบด้วยรหัสผ่านที่แตกต่างกัน 20 รหัสในคราวเดียว)
  • รหัสผ่านที่ได้รับในข้อความจาก Sberbank ไปยังโทรศัพท์โดยตรงระหว่างการดำเนินการเฉพาะ

ธุรกรรมบางอย่างในระบบ Sberbank Online สามารถทำได้หลังจากยืนยันด้วยรหัสผ่าน SMS เท่านั้น

ขอแนะนำให้ทำธุรกรรมทางการเงินโดยใช้รหัสผ่านแบบใช้ครั้งเดียว ผู้ใช้สามารถปิดการใช้งาน Sberbank Online ได้ แต่สิ่งนี้จะไม่ป้องกันเขาจากการใช้รหัสผ่านแบบครั้งเดียวเลย ดังนั้นเมื่อทำงานร่วมกับโปรแกรมธนาคารต่างๆ ข้อมูลเหล่านี้จึงจำเป็นต่อการยืนยันธุรกรรม

การรับรหัสผ่านแบบครั้งเดียว

มีหลายวิธีในการรับรหัสผ่านแบบครั้งเดียว เราต้องไม่ลืมว่าในการทำงานในระบบธนาคารทางอินเทอร์เน็ตคุณจะต้องเข้าสู่ระบบและรหัสผ่านถาวร
ผ่านตู้ ATM ของ Sberbank
ลูกค้าจะต้องเป็นผู้ถือบัตรเดบิต (เครดิตจะไม่ทำงาน) ของ Sberbank แห่งสหพันธรัฐรัสเซีย นี่อาจเป็นเงินเดือนหรือบัตรชำระเงิน หากมีให้คุณจะต้องนำติดตัวไปด้วยและไปที่เครื่องปลายทางหรือตู้ ATM ที่ใกล้ที่สุด (ขั้นตอนการรับจะเหมือนกัน)

  1. คุณต้องใส่การ์ดเข้าไปในเครื่องอ่านการ์ด
  2. กรอกรหัสยืนยันเมื่อระบบแจ้ง
  3. เมนูหลักจะปรากฏขึ้น ซึ่งคุณควรคลิกที่ส่วน "Sberbank Online และ Mobile Bank" หากตู้ ATM มีซอฟต์แวร์เก่าติดตั้งอยู่ รายการดังกล่าวจะไม่อยู่ที่นั่น ในกรณีนี้คุณจะต้องคลิกที่ปุ่ม "บริการอินเทอร์เน็ต"
  4. ในเมนูที่เปิดขึ้น ให้คลิกที่ปุ่ม "รับรายการรหัสผ่านแบบครั้งเดียว" ตู้เอทีเอ็มจะพิมพ์รายการรหัสผ่านออกมา ซึ่งมี 20 รายการ

รหัสผ่านในรายการเป็นอมตะ หากผู้ใช้พิมพ์รหัสผ่านใหม่ รหัสผ่านเก่าจะใช้ไม่ได้และไม่สามารถใช้งานได้อีกต่อไป

เพื่อให้ลูกค้าใช้รหัสผ่านได้สะดวกยิ่งขึ้น พวกเขาทั้งหมดจึงมีหมายเลขของตัวเอง เมื่อทำธุรกรรมใด ๆ บนอินเทอร์เน็ต ระบบธนาคารทางอินเทอร์เน็ตจะต้องให้ผู้ใช้ป้อนรหัสผ่านแบบใช้ครั้งเดียวซึ่งมีหมายเลขเฉพาะ มีการร้องขอแบบสุ่ม ดังนั้นคุณต้องใส่ใจกับข้อความของระบบที่ขอให้คุณป้อนรหัสผ่านแบบใช้ครั้งเดียว

โปรดทราบว่าการชำระเงินและการโอนเงินที่ได้รับการยืนยันด้วยรหัสผ่านครั้งเดียวจากเช็คต้องไม่เกินจำนวน 3,000 รูเบิล

หลังจากที่รหัสผ่านทั้ง 20 รหัสจากการตรวจสอบหมดลง คุณจะต้องได้รับรหัสผ่านใหม่ในลักษณะเดียวกับรหัสผ่านก่อนหน้า

หากใบเสร็จพร้อมรหัสผ่านสูญหายหรือบุคคลอื่นรู้จักข้อมูล คุณจะต้องพิมพ์ใบเสร็จใหม่ทันทีหรือบล็อกใบเก่า ในการดำเนินการนี้คุณต้องโทรติดต่อศูนย์ติดต่อที่หมายเลขใดหมายเลขหนึ่งต่อไปนี้

  • +7 (4 9 5 ) 5 0 0 - 5 5 5 0 ;
  • +7 (8 0 0 ) 5 5 5 - 5 5 5 0 .

ผ่านทาง SMS
วิธีการรับรหัสผ่านแบบครั้งเดียวนี้มีให้เฉพาะลูกค้าที่เคยเชื่อมต่อบริการ Mobile Banking กับบัตรของพวกเขาก่อนหน้านี้เท่านั้น ซึ่งสามารถทำได้โดยติดต่อสาขา Sberbank หรือใช้เครื่องปลายทาง (ATM) อีกทางเลือกหนึ่งในการเชื่อมต่อกับ Mobile Banking คือการโทรติดต่อศูนย์ติดต่อ ในการดำเนินการนี้ คุณจะต้องให้ข้อมูลการควบคุมซึ่งควรเตรียมไว้ล่วงหน้าอย่างดีที่สุด

เมื่อทำธุรกรรมใด ๆ ผ่าน Sberbank Online ผู้ใช้จะได้รับข้อความพร้อมรหัสผ่านแบบใช้ครั้งเดียวบนโทรศัพท์มือถือของตน (รหัสผ่านเดียว - หนึ่งข้อความ) จะต้องเข้าสู่ระบบผ่านบัตรที่เชื่อมต่อกับ Mobile Bank มิฉะนั้น คุณจะต้องใช้รายการรหัสผ่านแบบใช้ครั้งเดียวจากใบเสร็จรับเงิน

เมื่อดูข้อความที่ส่ง คุณต้องตรวจสอบให้แน่ใจว่ารายละเอียดธุรกรรมถูกต้อง ในการดำเนินการนี้ คุณต้องเปรียบเทียบข้อมูลที่ป้อนในระบบ Sberbank Online กับข้อมูลจาก SMS

รหัสผ่านแบบใช้ครั้งเดียวแต่ละอันจะใช้ได้ครั้งเดียวและไม่สามารถนำมาใช้ซ้ำได้ หากผู้ใช้ส่งคำขอรับรหัสผ่านแบบใช้ครั้งเดียวใหม่ รหัสเก่าจะถูกยกเลิก จะไม่สามารถใช้งานได้อีกต่อไป

ข้อความที่มีรหัสผ่านแบบใช้ครั้งเดียวจะมาจากหมายเลขย่อของ Sberbank 900 เสมอ รายละเอียดธุรกรรมต่อไปนี้ระบุไว้ใน SMS:

  • หมายเลขบัตรหรือบัญชีที่ทำธุรกรรม
  • จำนวนธุรกรรม
  • รหัสผ่านเพื่อยืนยันการดำเนินการ

อาจมีข้อมูลอื่น ๆ ขึ้นอยู่กับประเภทของธุรกรรมที่ทำ

ขั้นตอนการป้อนรหัสผ่านแบบครั้งเดียว

ขึ้นอยู่กับการตั้งค่าระบบของบัญชีส่วนตัวของคุณ คุณอาจได้รับอนุญาตให้ใช้การยืนยันธุรกรรมหนึ่งประเภทขึ้นไปด้วยรหัสผ่านแบบใช้ครั้งเดียว หากใช้ทั้งสองวิธีได้ระบบจะให้ผู้รับเหมาเลือกก่อนยืนยัน

หากผู้ใช้เลือกการยืนยันจากเช็ค หมายเลขเช็คและรหัสผ่านจะปรากฏข้างช่อง

หากการยืนยันมาถึงโทรศัพท์ของคุณในรูปแบบ SMS รหัสผ่านที่ได้รับควรเขียนใหม่ในบรรทัด "ป้อนรหัสผ่าน SMS"

หลังจากกรอกรหัสผ่านแล้วระบบจะแจ้งให้คุณตรวจสอบรายละเอียดทั้งหมดอีกครั้ง หากกรอกทั้งหมดถูกต้อง คุณจะต้องคลิกที่ปุ่ม "ยืนยัน"

วิธีรับแบบไหนสะดวกกว่ากัน?

หากบุคคลรู้วิธีใช้รหัสผ่านแบบครั้งเดียวในระบบ Sberbank Online เขามีคำถามอื่น - วิธีใดที่มีอยู่ที่สะดวกและเชื่อถือได้มากที่สุด?

ในการอนุญาตในระบบโดยใช้ข้อมูลบัตรที่เชื่อมต่อกับ Mobile Bank จะต้องใช้รหัสผ่านแบบครั้งเดียวที่ได้รับในข้อความเพื่อเข้าสู่ระบบในทุกกรณี แต่การดำเนินการสามารถยืนยันได้ด้วยวิธีที่สะดวกสำหรับผู้ใช้ รหัสผ่าน SMS ไม่ได้มาตรงเวลาเสมอไป บางครั้งพวกเขาก็ถูกส่งออกไปด้วยความล่าช้า และรายการใดรายการหนึ่งใช้เวลาเพียง 5 นาที หากระบบหรือการเชื่อมต่อมือถือขัดข้อง ควรใช้รหัสผ่านจากใบเสร็จเพื่อยืนยันจะดีกว่า