Tek seferlik şifre. Sberbank çevrimiçi için tek kullanımlık şifreler. İşlemleri tek kullanımlık şifre ile onaylama

Tek seferlik şifre(tek kullanımlık şifre, OTP) yalnızca bir oturum için geçerli olan şifredir. Tek kullanımlık şifrenin geçerliliği de belirli bir süre ile sınırlandırılabilir. Tek kullanımlık şifrenin statik şifreye göre avantajı, şifrenin tekrar kullanılamamasıdır. Dolayısıyla, başarılı bir kimlik doğrulama oturumundan verileri ele geçiren bir saldırgan, kopyalanan parolayı korunan bilgi sistemine erişim sağlamak için kullanamaz. Tek kullanımlık parolaların kullanılması, kimlik doğrulama için kullanılan iletişim kanalına aktif müdahaleye dayalı saldırılara (örneğin, ortadaki adam saldırılarına karşı) karşı tek başına koruma sağlamaz.

Tek kullanımlık şifreler oluşturmak için yalnızca belirli bir kullanıcının erişebildiği tek kullanımlık şifre oluşturucu kullanılır. Tipik olarak tek kullanımlık şifreler bir dizi sayı halinde sunulur ve uzaktan bakım sistemlerine erişim için kullanılır. Bunlar kuruluşun iç bilgi sistemleridir.

Bankacılık sektöründe tek kullanımlık şifre sağlamanın en yaygın yolu, bankanın internet bankacılığı sistemini kullanarak müşteriye gönderdiği SMS mesajıdır.

Ek olarak, banka tarafından tek kullanımlık şifreler, şifrelerin silinebilir bir kaplamanın arkasına saklandığı plastik bir kart olan kazı kazan kartı adı verilen bir kart üzerinde verilebilir. Bu durumda, internet bankacılığı sisteminden tek kullanımlık şifreyi (belirli bir seri numarasıyla) girme talimatı alan müşteri, kartta gerekli numaranın yanındaki kapağı siler ve kodu sisteme girer.

Makbuzda tek kullanımlık şifrelerin bir listesini verme yöntemi uygulanır, ancak zamanla alaka düzeyini kaybeder. Kazı kazan kartındaki şifreler gibi seri numaraları vardır ve çevrimiçi bankacılık sistemi tarafından yönlendirildiği şekilde girilirler.

Dolandırıcılıkla mücadelede bankalar, yalnızca finansal işlemleri onaylamak için değil, aynı zamanda İnternet bankacılığı sistemine ilk giriş için de tek kullanımlık şifreleri giderek daha fazla kullanıyor.

Bazı çevrimiçi bankacılık sistemleri elektronik tek kullanımlık kod oluşturucu sunar.

OTP oluşturma algoritmaları genellikle rastgele sayılar kullanır. Bu gereklidir çünkü aksi takdirde önceki şifrelere dayanarak sonraki şifreleri tahmin etmek kolay olur. Belirli OTP algoritmalarının ayrıntıları büyük ölçüde farklılık gösterir. Tek kullanımlık şifreler oluşturmaya yönelik çeşitli yaklaşımlar aşağıda listelenmiştir.

1. Önceki şifrelere dayalı olarak yeni bir şifre oluşturmak için matematiksel algoritmalar kullanmak (şifreler aslında bir zincirdir ve belirli bir sırayla kullanılmalıdır).
2. Sunucu ve istemci arasındaki zaman senkronizasyonuna dayalı olarak şifre sağlanması (şifreler kısa süreliğine geçerlidir).
3. Yeni şifrenin bir sorgulamaya (örneğin, sunucu tarafından seçilen rastgele bir sayıya veya gelen mesajın bir kısmına) ve/veya bir sayaca dayandığı bir matematiksel algoritma kullanma.

Son zamanlarda yapılan araştırmalar, bilgi güvenliği alanında şirketler için en ciddi sorunlardan birinin bilgisayar sistemlerine yetkisiz erişim olduğunu göstermektedir. CSI/FBI Bilgisayar Suçları ve Güvenlik Araştırması 2005'e göre, geçen yıl şirketlerin %55'i verilere yetkisiz erişim içeren olaylar bildirdi. Üstelik aynı yıl şirketler izinsiz erişim nedeniyle ortalama 303 bin dolar zarara uğradı ve kayıplar 2004'e göre altı kat arttı.

Doğal olarak, Rus şirketleri için kayıp rakamları tamamen farklı olacaktır, ancak bu, sorunun kendisini ortadan kaldırmaz: yetkisiz erişim, yönetimin bunun farkında olup olmadığına bakılmaksızın şirketlere gerçekten ciddi zararlar verir.

Bu tehdide karşı korumanın güvenilirliğinin öncelikle kullanıcı kimlik doğrulama sisteminin kalitesine bağlı olduğu açıktır. Günümüzde kişiselleştirilmiş erişime değinmeden ve ağdaki tüm kullanıcı hareketlerini takip etmeden bilgi güvenliğinden bahsetmek mantıklı değil. Ancak kurumsal yerel ağa dahil olan bilgisayarlarda kullanıcıların kimlik doğrulaması söz konusu olduğunda özel bir zorluk yaşanmaz. Piyasada akıllı kartlar ve elektronik anahtarlar, biyometrik kimlik doğrulama araçları ve hatta grafik şifreler gibi egzotik şeyler de dahil olmak üzere birçok farklı çözüm sunulmaktadır.

Kullanıcının örneğin İnternet aracılığıyla kurumsal bir bilgisayar ağına uzaktan bağlanması gerekiyorsa işler biraz farklıdır. Bu durumda daha detaylı ele alacağımız bir takım sorunlarla karşılaşabilir.

Uzaktan Erişim Tuzakları

Güvenilmeyen bir ortamda (ofis dışında) bulunan kullanıcı, başka birinin bilgisayarından (örneğin bir İnternet kafeden) şifre girme ihtiyacıyla karşı karşıya kalır. Şifreler de bilgisayara girilen diğer bilgiler gibi önbelleğe alınır ve istenirse başkaları tarafından kendi bencil amaçları için kullanılabilir.

Günümüzde oldukça yaygın olan, sniffing (İngilizce sniff - sniff kelimesinden) adı verilen bir tür bilgisayar dolandırıcılığıdır - bir saldırganın kendisini ilgilendiren bilgileri tanımlamak için ağ paketlerine müdahale etmesi. Bu tekniği kullanan bir bilgisayar korsanı, kullanıcının şifresini bulabilir ve yetkisiz erişim için kullanabilir.

Basit parola koruması (özellikle uzaktan erişim için), Web sayfalarının normal "çevirilmesi" sırasında kullanıcının bilgisayarına sessizce giren yeni nesil casus yazılım virüsleri tarafından ciddi şekilde test edilmektedir. Virüs, parola görevi görebilecek karakter kombinasyonlarını belirlemek amacıyla belirli bir bilgisayarın bilgi akışlarını filtreleyecek şekilde programlanabilir. "Casus" bu kombinasyonları yaratıcısına gönderir ve geriye kalan tek şey gerekli şifreyi belirlemektir.

Ağa güvenli erişimi organize etmenin donanım yönteminin basit şifrelerden birkaç kat daha güvenilir olduğu açıktır, ancak ofisten uzaktayken bir akıllı kart veya USB anahtarı nasıl kullanılır? Büyük olasılıkla, bu başarısız olacaktır, çünkü ilk cihaz en az bir okuyucu gerektirir, ikincisi - engellenmiş olabilecek bir USB bağlantı noktası (İnternet kafe) veya daha kötüsü, kullanıcının denediği cihazda olmayabilir. erişim almak için (PDA, cep telefonu, akıllı telefon vb.). Söylemeye gerek yok, donanımın (akıllı kartlar ve USB anahtarları) çalışması için, aynı İnternet kafede kurulması pek mümkün olmayan uygun yazılıma ihtiyacınız var.

Bu arada, uzaktan bilgi almanın veya göndermenin gerekli olduğu durumlar oldukça sık ortaya çıkıyor. Örneğin elektronik bankacılık sistemlerini ele alalım: Bir kullanıcının, hesabını uzaktan yönetmek için güvenli bankacılık kaynaklarına erişmesi gerekeceği bir durumu hayal etmek kolaydır. Günümüzde bazı bankalar USB anahtar kullanarak donanım yetkilendirmesi ihtiyacını fark etmişlerdir. Ancak yukarıda açıklanan bazı nedenlerden dolayı onu kullanmak her zaman mümkün değildir.

Birçok büyük şirketin işinin özellikleri, onları genellikle üçüncü taraf kullanıcılara (ortaklara, müşterilere, tedarikçilere) kendi kaynaklarına erişim sağlamaya zorlar. Bugün Rusya'da, dış kaynak kullanımı gibi bir tür işbirliği aktif olarak ivme kazanıyor: bir taşeron şirketin, bir sipariş üzerinde iş yapmak için müşterinin korunan kaynaklarına erişmesi gerekebilir.

Kullanıcı bir konferansta, müzakerelerde veya diğer iş etkinliklerindeyse, elinde yalnızca bir PDA veya akıllı telefon varken güvenilir bir kimlik doğrulama şeması kullanarak kurumsal bir ağa bağlanma ihtiyacı ciddi bir sorun haline gelebilir. Sadece mobil uygulamalar için ve özel yazılım kurmanın mümkün olmadığı yerlerden gerekli bilgilere erişimi organize etmek için tek kullanımlık şifreler OTP - Tek Kullanımlık Şifre kavramı geliştirildi.

Tek kullanımlık şifre: girildi ve unutuldu

Tek kullanımlık şifre, sınırlı bir süre boyunca yalnızca bir kimlik doğrulama işlemi için geçerli olan bir anahtar kelimedir. Böyle bir şifre, bilgilerin olası ele geçirilmesi veya banal gözetleme sorununu tamamen çözer. Saldırganın “kurbanın” şifresini ele geçirmesi mümkün olsa bile, bu şifreyi kullanarak erişim sağlama şansı sıfırdır.

Tek kullanımlık şifre kavramının ilk uygulamaları, statik bir anahtar kelime grubuna dayanıyordu; yani, kullanıcıların daha sonra kullanabileceği bir şifre listesi (anahtarlar, kod kelimeleri vb.) ilk olarak oluşturuldu. İlk bankacılık sistemlerinde bir hesabı uzaktan yönetme olanağı sağlayan benzer bir mekanizma kullanıldı. Bu hizmet etkinleştirildiğinde müşteri, şifrelerinin listesini içeren bir zarf aldı. Daha sonra sisteme her girişinde bir sonraki anahtar kelimeyi kullandı. Listenin sonuna ulaşan müşteri, yenisini almak için bankaya gitti. Bu çözümün bir takım dezavantajları vardı; en önemlisi düşük güvenilirlikti. Yine de yanınızda bir şifre listesi taşımak tehlikelidir; saldırganlar tarafından kolaylıkla kaybolabilir veya çalınabilir. Ve listenin sonu yok ama ya doğru zamanda bankaya ulaşmak mümkün değilse?

Neyse ki, bugün durum çok dramatik bir şekilde değişti. Genel olarak konuşursak, Batı ülkelerinde bilgi sistemlerinde kimlik doğrulama için tek kullanımlık şifreler yaygın hale geldi. Ancak ülkemizde OTP teknolojisi yakın zamana kadar kullanılamıyordu. Ve şirket yönetimi, uzaktan çalışırken yetkisiz erişim riskinin ne kadar arttığını ancak son zamanlarda fark etmeye başladı. Bildiğimiz gibi talep arzı yaratır. Artık uzaktan kimlik doğrulama için tek kullanımlık şifreler kullanan ürünler yavaş yavaş Rusya pazarında yerini almaya başladı.

Modern OTP kimlik doğrulama teknolojileri, güçlü şifreleme algoritmaları kullanan dinamik anahtar kelime oluşturmayı kullanır. Başka bir deyişle, kimlik doğrulama verileri, kullanıcının gizli anahtarını kullanarak bazı başlangıç ​​değerlerinin şifrelenmesinin sonucudur. Hem istemci hem de sunucu bu bilgiye sahiptir. Ağ üzerinden iletilmez ve ele geçirilemez. Kimlik doğrulama işleminde her iki tarafın da bildiği bilgiler başlangıç ​​değeri olarak kullanılır ve her kullanıcı sistemde başlatıldığında bir şifreleme anahtarı oluşturulur (Şekil 1).

OTP teknolojilerinin gelişiminin bu aşamasında hem simetrik hem de asimetrik kriptografiyi kullanan sistemlerin bulunduğunu belirtmekte fayda var. İlk durumda her iki tarafın da gizli anahtara sahip olması gerekir. İkincisinde, yalnızca kullanıcının gizli anahtara ihtiyacı vardır, kimlik doğrulama sunucusu ise bu anahtarı herkese açık hale getirir.

Uygulama

OTP teknolojileri, VeriSign tarafından 2004 yılında başlatılan Açık Kimlik Doğrulama (OATH) sektör girişiminin bir parçası olarak geliştirilmiştir. Bu girişimin özü, çeşitli İnternet hizmetleri için gerçekten güçlü kimlik doğrulamaya yönelik standart bir spesifikasyon geliştirmektir. Dahası, kullanıcı haklarının iki faktörlü belirlenmesinden bahsediyoruz; bu sırada kullanıcının bir akıllı kart veya USB belirtecini ve şifresini "sunması" gerekir. Bu nedenle, tek kullanımlık şifreler sonunda çeşitli sistemlerde standart bir uzaktan kimlik doğrulama aracı haline gelebilir.

Günümüzde tek kullanımlık şifre doğrulama sistemlerini uygulamaya yönelik çeşitli seçenekler geliştirilmiş ve pratikte kullanılmaktadır.

İstek-cevap yöntemi.Çalışma prensibi şu şekildedir: Kimlik doğrulama prosedürünün başlangıcında kullanıcı, oturum açma bilgilerini sunucuya gönderir. Buna yanıt olarak, ikincisi rastgele bir dize oluşturur ve onu geri gönderir. Kullanıcı bu verileri kendi anahtarını kullanarak şifreler ve sunucuya geri gönderir. Bu sırada sunucu, bu kullanıcının gizli anahtarını hafızasında "bulur" ve onun yardımıyla orijinal dizeyi kodlar. Aşağıda her iki şifreleme sonucunun karşılaştırması yer almaktadır. Tamamen eşleşirlerse kimlik doğrulama başarılı kabul edilir. Kimlik doğrulama işlemi kullanıcının sunucuyla olan geçmişine ve diğer faktörlere bağlı olmadığından, tek kullanımlık şifre teknolojisinin uygulanmasına yönelik bu yönteme eşzamansız denir.

"Yalnızca yanıt" yöntemi. Bu durumda kimlik doğrulama algoritması biraz daha basittir. Sürecin en başında, kullanıcının yazılımı veya donanımı, şifrelenecek ve karşılaştırma için sunucuya gönderilecek olan orijinal verileri bağımsız olarak oluşturur. Bu durumda satır oluşturma işlemi sırasında önceki isteğin değeri kullanılır. Sunucuda ayrıca şu bilgi bulunmaktadır; Kullanıcının adını bilerek, önceki isteğinin değerini bulur ve aynı algoritmayı kullanarak tamamen aynı dizeyi üretir. Kullanıcının gizli anahtarını kullanarak şifreledikten sonra (aynı zamanda sunucuda da saklanır), sunucu, kullanıcı tarafından gönderilen verilerle tamamen eşleşmesi gereken bir değer alır.

Zaman senkronizasyonu yöntemi. Bir kişinin ilk satır olarak çalıştığı özel bir cihazın veya bilgisayarın mevcut zamanlayıcı okumalarını kullanır. Bu durumda, bu genellikle zamanın kesin bir göstergesi değil, sınırları önceden belirlenmiş bir akım aralığıdır (örneğin, 30 saniye). Bu veriler gizli bir anahtar kullanılarak şifrelenir ve kullanıcı adıyla birlikte açık metin olarak sunucuya gönderilir. Sunucu, bir kimlik doğrulama isteği alırken aynı eylemleri gerçekleştirir: geçerli saati zamanlayıcısından alır ve şifreler. Bundan sonra yapması gereken tek şey iki değeri karşılaştırmaktır: hesaplanan değer ve uzaktaki bilgisayardan alınan değer.

"Olay senkronizasyonu" yöntemi. Prensip olarak, bu yöntem öncekiyle hemen hemen aynıdır, yalnızca ilk dize olarak zamanı değil, geçerli olandan önce gerçekleştirilen başarılı kimlik doğrulama prosedürlerinin sayısını kullanır. Bu değer her iki tarafça birbirinden ayrı olarak hesaplanır.

Bazı sistemler, başlangıç ​​değeri olarak iki veya daha fazla bilgi türünün kullanıldığı karma yöntemler adı verilen yöntemleri uygular. Örneğin, hem kimlik doğrulama sayaçlarını hem de yerleşik zamanlayıcıları dikkate alan sistemler vardır. Bu yaklaşım, bireysel yöntemlerin birçok dezavantajını ortadan kaldırır.

OTP teknolojilerinin güvenlik açıkları

Tek kullanımlık şifre teknolojisi oldukça güvenilir kabul ediliyor. Ancak objektiflik adına, OTP prensibini saf haliyle uygulayan tüm sistemlerin tabi olduğu dezavantajların da bulunduğunu belirtiyoruz. Bu tür güvenlik açıkları iki gruba ayrılabilir. Birincisi, tüm uygulama yöntemlerinde bulunan potansiyel olarak tehlikeli "boşlukları" içerir. Bunlardan en ciddi olanı, kimlik doğrulama sunucusunu yanıltma olasılığıdır. Bu durumda kullanıcı verilerini doğrudan saldırgana gönderecek ve saldırgan bu verileri gerçek sunucuya erişmek için hemen kullanabilecek. "İstek-yanıt" yöntemi durumunda, saldırı algoritması biraz daha karmaşık hale gelir (bilgisayar korsanının bilgisayarı, sunucu ile istemci arasındaki bilgi alışverişi sürecinden geçen bir "aracı" rolünü oynamalıdır). Ancak pratikte böyle bir saldırıyı gerçekleştirmenin hiç de kolay olmadığını belirtmekte fayda var.

Diğer bir güvenlik açığı yalnızca eşzamanlı yöntemlere özgüdür ve sunucuda ve kullanıcının yazılımında veya donanımında bilgi senkronizasyonunun bozulması riskinin bulunmasıyla ilişkilidir. Diyelim ki bazı sistemlerde ilk veriler dahili zamanlayıcıların okumaları ve bazı nedenlerden dolayı artık birbirleriyle örtüşmüyorlar. Bu durumda, kullanıcının tüm kimlik doğrulama girişimleri başarısız olur (tip 1 hata). Neyse ki, bu gibi durumlarda ikinci türden bir hata ("yabancının" kabulü) meydana gelemez. Ancak anlatılan durumun gerçekleşme ihtimali de son derece düşüktür.

Bazı saldırılar yalnızca tek kullanımlık şifre teknolojisinin belirli uygulamalarına uygulanır. Örnek olarak tekrar zamanlayıcı senkronizasyon yöntemini ele alalım. Daha önce de söylediğimiz gibi, zaman saniyelik bir doğrulukla değil, önceden belirlenmiş bir aralık dahilinde dikkate alınır. Bu, zamanlayıcıların senkronizasyonunun bozulması olasılığının yanı sıra veri aktarımında gecikmelerin ortaya çıkması dikkate alınarak yapılır. Ve tam da bu andan itibaren bir saldırgan teorik olarak uzaktaki bir sisteme yetkisiz erişim elde etme avantajından yararlanabilir. Başlangıç ​​olarak, bilgisayar korsanı kullanıcıdan kimlik doğrulama sunucusuna giden ağ trafiğini "dinler" ve "kurban" tarafından gönderilen oturum açma bilgilerini ve tek kullanımlık şifreyi ele geçirir. Daha sonra bilgisayarını hemen bloke eder (aşırı yükleme yapar, bağlantıyı keser vb.) ve kendisinden yetkilendirme verilerini gönderir. Saldırgan bunu kimlik doğrulama aralığının değişmeye vakti kalmayacak kadar hızlı yapmayı başarırsa, sunucu onu kayıtlı bir kullanıcı olarak tanıyacaktır.

Böyle bir saldırı için saldırganın trafiği dinleyebilmesinin yanı sıra müşterinin bilgisayarını hızlı bir şekilde bloke edebilmesi gerektiği açıktır ve bu kolay bir iş değildir. Saldırının önceden planlandığı ve "kurban"ın uzaktaki sisteme bağlanmak için başka birinin yerel ağındaki bir bilgisayarı kullanacağı durumlarda bu koşullara uymak en kolay yoldur. Bu durumda, bilgisayar korsanı bilgisayarlardan birinde önceden "çalışabilir" ve onu başka bir makineden kontrol etme yeteneği kazanabilir. İnternete erişim için ancak “güvenilir” iş makinelerini (örneğin kendi dizüstü bilgisayarınız veya PDA'nız) ve “bağımsız” güvenli (örneğin SSL kullanarak) kanalları kullanarak kendinizi bu tür bir saldırıdan koruyabilirsiniz.

Uygulama kalitesi

Herhangi bir güvenlik sisteminin güvenilirliği büyük ölçüde uygulamanın kalitesine bağlıdır. Tüm pratik çözümlerin, saldırganların kendi amaçları doğrultusunda yararlanabileceği kendi eksiklikleri vardır ve bu "delikler" genellikle uygulanan teknolojiyle doğrudan ilişkili değildir. Bu kural, tek kullanımlık şifrelere dayalı kimlik doğrulama sistemleri için tamamen geçerlidir. Yukarıda belirtildiği gibi, kriptografik algoritmaların kullanımına dayanmaktadırlar. Bu, bu tür ürünlerin geliştiricilerine belirli yükümlülükler getirir - sonuçta, herhangi bir algoritmanın veya örneğin bir rastgele sayı üretecinin düşük kalitede yürütülmesi, bilgi güvenliğini tehlikeye atabilir.

Tek kullanımlık şifre oluşturucular iki şekilde uygulanır: yazılım ve donanım. Bunlardan ilki doğal olarak daha az güvenilirdir. Gerçek şu ki, istemci yardımcı programının kullanıcının gizli anahtarını saklaması gerekir. Bu, yalnızca anahtarın kendisini kişisel bir parolaya göre şifreleyerek az çok güvenli bir şekilde yapılabilir. Oturumun o anda çalıştığı cihaza (PDA, akıllı telefon vb.) İstemci yardımcı programının kurulması gerektiğini dikkate almak gerekir. Böylece, bunu bulmanın veya tahmin etmenin birçok yolu olmasına rağmen, çalışan kimlik doğrulamasının tek bir parolaya bağlı olduğu ortaya çıktı. Ve bu, tek kullanımlık şifre oluşturma yazılımının tek güvenlik açığından çok uzaktır.

OTP teknolojilerinin donanım uygulamasına yönelik çeşitli cihazlar kıyaslanamayacak kadar daha güvenilirdir. Örneğin, hesap makinesine benzeyen cihazlar vardır (Şekil 2): ​​sunucu tarafından gönderilen bir dizi sayıyı bunlara girdiğinizde, gömülü gizli anahtara dayalı olarak tek kullanımlık bir şifre oluştururlar (istek-yanıt yöntemi) . Bu tür cihazların temel güvenlik açığı çalınabilmeleri veya kaybolabilmeleridir. Sistemi bir saldırgandan korumak ancak gizli bir anahtarla güvenilir cihaz hafıza koruması kullanmanız durumunda mümkündür.

Pirinç. 2. RSA SecurID OTP cihazı.

Akıllı kartlarda ve USB belirteçlerinde uygulanan yaklaşım tam olarak budur. Hafızasına erişmek için kullanıcının PIN kodunu girmesi gerekir. Bu tür cihazların PIN kodu tahmininden korunduğunu da ekleyelim: Üç kez yanlış değer girilirse bloke oluyorlar. Anahtar bilgilerinin güvenilir bir şekilde depolanması, anahtar çiftlerinin donanımsal olarak oluşturulması ve güvenilir bir ortamda (akıllı kart çipinde) kriptografik işlemlerin gerçekleştirilmesi, bir saldırganın gizli anahtarı çıkarmasına ve tek kullanımlık şifre oluşturma cihazının bir kopyasını oluşturmasına izin vermez.

OTP Uygulama Örneği

Bu nedenle, akıllı kartlar ve USB belirteçleri, neredeyse tüm uygulama güvenlik açıklarından korunan en güvenilir tek seferlik şifre oluşturucular olarak kabul edilir. Dahası, ikincisi açıkça daha kullanışlıdır: Akıllı kartlar için gerekli olan ek okuma cihazları olmadan herhangi bir PC veya dizüstü bilgisayarda kullanılabilirler. Ayrıca, USB bağlantı noktası olmadan çalışabilen, OTP teknolojisine sahip bir USB anahtarının uygulanması da bulunmaktadır. Böyle bir elektronik anahtarın bir örneği Aladdin'den eToken NG-OTP'dir (Şekil 3).

Aladdin'in (http://www.aladdin.com) yukarıda bahsedilen OATH girişiminin desteklenmesinde aktif olarak yer aldığını ve burada tartışılan anahtarın VeriSign Birleşik Kimlik Doğrulama çözümünün temel bileşeni olarak seçildiğini belirtmekte fayda var. Doğru, bu sistemde farklı şekilde adlandırılıyor: eToken VeriSign. Bu çözümün temel amacı, İnternet üzerinden gerçekleştirilen işlemlerde güveni artırmaktır ve bir donanım anahtarına dayalı, katı iki faktörlü kimlik doğrulamaya dayanmaktadır. eToken NG-OTP ürününün bu tür OEM teslimatları, ürünün kalitesini ve tüm OATH spesifikasyonlarına uygunluğunu teyit etmektedir.

eToken serisi cihazlar Rusya'da oldukça yaygındır. Microsoft, Cisco, Oracle, Novell vb. gibi önde gelen üreticiler ürünlerinde destek sağlamaktadır (eToken'in geçmiş performansında bilgi güvenliği uygulamaları ile 200'den fazla uygulama bulunmaktadır).

Dolayısıyla, eToken NG-OTP başka bir donanım anahtarına dayanmaktadır, serideki en popüler model eToken PRO'dur. Anahtar bilgilerini, kullanıcı profillerini ve diğer gizli verileri güvenli bir şekilde depolamak, donanım şifreleme hesaplamaları gerçekleştirmek ve asimetrik anahtarlar ve X.509 sertifikalarıyla çalışmak için kullanılabilen, korumalı belleğe sahip bir akıllı kart çipine dayanan tam teşekküllü bir belirteçtir.

Yukarıda açıklanan yetenekleri uygulayan modüllere ek olarak, eToken NG-OTP anahtarı bir kerelik donanım şifre oluşturucu içerir (Şekil 4). “Olay senkronizasyonu” yöntemini kullanarak çalışır. Bu, senkronize seçenekler arasında OTP teknolojisinin en güvenilir uygulamasıdır (senkronizasyonun bozulması riski daha azdır). eToken NG-OTP anahtarında uygulanan tek seferlik şifre oluşturma algoritması, OATH girişiminin bir parçası olarak geliştirilmiştir (HMAC teknolojisine dayanmaktadır). İşin özü, HMAC-SHA-1 değerini hesaplamak ve ardından elde edilen 160 bitlik değerden altı haneyi kesme (seçme) işlemini gerçekleştirmektir. Tek kullanımlık şifre görevi gören onlardır.

eToken NG-OTP birleşik anahtarının ilginç bir özelliği, anahtarı bir bilgisayara bağlamadan bile tek kullanımlık şifreleri kullanabilmesidir. OTP oluşturma işlemi, cihazın gövdesinde bulunan özel bir düğmeye basılarak başlatılabilir (Şekil 5) ve bu durumda sonucu, dahili LCD ekranda görüntülenecektir. Bu yaklaşım, USB bağlantı noktası olmayan cihazlarda (akıllı telefonlar, PDA'lar, cep telefonları vb.) ve engellendiği bilgisayarlarda bile OTP teknolojisini kullanmanıza olanak tanır.

En güvenilir olanı, söz konusu anahtarın karma çalışma modudur. Kullanmak için cihazın bir PC'ye bağlı olması gerekir. Burada çeşitli şekillerde uygulanan iki faktörlü kimlik doğrulamadan bahsediyoruz. Bir durumda, ağa erişim sağlamak için, kullanıcının kendi şifresini ve OTP değerini girmek gerekir. Diğer seçenek, tek kullanımlık bir şifre ve OTP PIN değeri gerektirir (anahtar ekranda görüntülenir).

Doğal olarak eToken NG-OTP anahtarı, dijital sertifikalar ve PKI teknolojisi kullanılarak kullanıcı kimlik doğrulaması yapmak, kişisel anahtarları saklamak vb. için standart bir USB belirteci olarak çalışabilir. Bu nedenle, söz konusu ürünün ilgili çok çeşitli projelerde kullanılması tavsiye edilir. güvenli uzaktan erişim ve iki faktörlü kimlik doğrulama ihtiyacına. Bu tür hibrit anahtarların kurumsal ölçekte kullanılması, kullanıcıların anahtarlarıyla hem ofis içinde hem de ofis dışında çalışmasına olanak tanır. Bu yaklaşım, güvenilirliğini azaltmadan bir bilgi güvenliği sistemi oluşturmanın maliyetini azaltır.

Özetleyelim

Dolayısıyla, güvenilir uzaktan kimlik doğrulama sistemlerini uygulamak için modern şifreleme teknikleriyle birleştirilmiş OTP tek kullanımlık şifreler kavramı kullanılabilir. Bu teknolojinin bir takım ciddi avantajları vardır. Her şeyden önce güvenilirliktir. Günümüzde açık iletişim kanalları üzerinden bilgi aktarımında gerçek anlamda "güçlü" kullanıcı kimlik doğrulaması için bilinen pek fazla yöntem yoktur. Bu arada bu sorun giderek daha sık ortaya çıkıyor. Ve tek kullanımlık şifreler en umut verici çözümlerden biridir.

Tek kullanımlık şifrelerin ikinci avantajı "standart" şifreleme algoritmalarının kullanılmasıdır. Bu, mevcut gelişmelerin OTP kullanan bir kimlik doğrulama sisteminin uygulanmasına mükemmel şekilde uygun olduğu anlamına gelir. Nitekim yerli kripto sağlayıcılarla uyumlu aynı eToken NG-OTP anahtarıyla da bu açıkça kanıtlanıyor. Bu tür tokenlar, mevcut kurumsal güvenlik sistemlerinde yeniden inşa edilmeden kullanılabilir. Sonuç olarak, tek kullanımlık şifre teknolojisinin uygulanması nispeten düşük maliyetle gerçekleştirilebilir.

Tek kullanımlık şifrelerin bir diğer avantajı da korumanın insan faktörüne zayıf bir şekilde bağlı olmasıdır. Doğru, bu tüm uygulamaları için geçerli değildir. Daha önce de söylediğimiz gibi birçok tek kullanımlık şifre programının güvenilirliği kullanılan PIN kodunun kalitesine bağlıdır. USB belirteçlerini temel alan donanım oluşturucuları tam iki faktörlü kimlik doğrulamayı kullanır. Ve son olarak OTP konseptinin dördüncü avantajı kullanıcılara kolaylık sağlamasıdır. Tek kullanımlık şifreler kullanarak gerekli bilgilere erişim sağlamak, bu amaçla statik anahtar kelimeler kullanmaktan daha zor değildir. Özellikle güzel olan şey, tartışılan teknolojinin bazı donanım uygulamalarının, üzerinde yüklü olan bağlantı noktaları ve yazılımlardan bağımsız olarak herhangi bir cihazda kullanılabilmesidir.

Kullanıcı kimliği (veya oturum açma adı) ve kalıcı şifre, Sberbank Online sistemindeki kişisel hesabınıza her giriş yaptığınızda kullanılır. Bu ilk koruma düzeyi, SMS mesajıyla gönderilen tek kullanımlık bir şifreyle tamamlanır.

Sberbank Çevrimiçi Sistemi iki tür tek kullanımlık şifre kullanır. İlkinden daha önce bahsetmiştik, bunlar Sberbank Mobil Banka hizmetine bağlı bir cep telefonuna gönderilen şifrelerdir. İkinci tür ise, bir terminal cihazı aracılığıyla alınan 20 şifrenin yer aldığı listenin kontrol edilmesidir.
SMS yoluyla alınan tek kullanımlık şifreler, çek üzerine basılan şifrelerden daha güvenilir kabul edildiğinden, Sberbank Online'da bazı işlemler yalnızca bu şifreler kullanılarak gerçekleştirilebilmektedir.

Yapılan ödeme işleminin güvenliği açısından, işlem sırasında cep telefonuna tek kullanımlık SMS şifresi gönderilmekte olup, SMS mesajında ​​bu şifrenin hangi işlemin yapılacağı da belirtilmektedir.
Tek kullanımlık SMS şifresi yalnızca belirli bir işlemin onaylanması için geçerlidir. Mobil Bankacılık üzerinden alınan bir sonraki tek kullanımlık şifre oluşturulurken önceki şifreye ait bilgiler yok edilmektedir.

Hangi tek kullanımlık şifreleri kullanmak en iyisidir?

Kart Mobil Banka hizmetine bağlıysa, kişisel hesabınıza giriş yaparken kesinlikle SMS olarak gönderilen tek kullanımlık şifreyi girmeniz gerekecektir. Daha sonra, giriş yaptıktan sonra, tek seferlik şifre veya çek şifresi kullanarak işlemlerin nasıl onaylanacağını seçme fırsatına sahip olacaksınız. Bu işlemin onaylanmasının, açıklanan tek kullanımlık şifre türlerinden herhangi biriyle gerçekleştirilebilmesi şartıyla.
Bu çok uygundur, çünkü mobil iletişim bazen SMS mesajını "başarısız edebilir" veya geciktirebilir, çünkü tek seferlik şifre yalnızca 300 saniye geçerlidir. Daha sonra çekteki şifreleri kullanabilirsiniz.

Bu durumda, tek kullanımlık şifrenin seri numarasının belirtileceği buna benzer bir pencere açılacaktır. Zaten "kullanılmış" şifrelerin üzerini çizin veya kutuları işaretleyin. Bu, çekte kaç şifre kaldığını bilmeniz ve ATM'den zamanında yeni bir liste almanız için gereklidir.

Makale yalnızca bilgilendirme amaçlıdır ve Sberbank Online sistemine ilişkin tüm detayları içermemektedir. Daha detaylı bilgiye bankanın internet sitesinden ulaşabilirsiniz.
Lütfen yayın tarihine de dikkat edin. Bu zamana kadar bazı bilgilerin değişmiş veya güncelliğini kaybetmiş olması mümkündür.
Yayın tarihi: 18/10/2015

Kullanıcı girişi Sberbank Online'da oturum açmak için kullanılır. Kişisel hesabınıza girmek için giriş nasıl oluşturulur?

Sberbank online, Sberbank müşterilerine İnternet üzerinden uzaktan hizmet vermek için kullanılan modern bir hizmettir. Sberbank çevrimiçi sisteminin yetenekleri.

Sberbank Online'da karttan karta transfer. Sberbank Online aracılığıyla para transferi için komisyon miktarı.

ATM'den kullanıcı kimliği ve tek kullanımlık şifre almak veya ATM'yi kullanmakSMS.

ATM üzerinden tek kullanımlık şifre.

Ayrıca Sberbank'ın self-servis cihazını kullanarak bir kullanıcı kimliği ve kalıcı şifre alabilirsiniz.Kartı takın ve PIN kodunu girin. Daha öte listede “Sberbank Çevrimiçi ve Mobil Bankayı Bağlayın” öğesini seçin, yeni bir sayfaya gidin. Burada “Tek Kullanımlık Şifreleri Yazdır” sekmesine tıklamanız ve bunları makbuz şeklinde almanız gerekecektir.

Henüz sisteme bağlanmadıysanız, önce “Kimlik ve şifreyi yazdır” öğesini seçin ve bu verileri makbuzla alın. Bundan sonra kartı tekrar takın, PIN kodunu girin ve yukarıda açıklanan tüm adımları tekrarlayın.

SMS yoluyla tek kullanımlık şifre.

Güvenlik amacıyla sisteme giriş yaparken veya riskli işlemler gerçekleştirirken tek kullanımlık şifre kullanılarak ek kullanıcı kimlik doğrulaması yapılır.

Mobil bankacılık hizmetini kullanan müşterilerimize tek kullanımlık şifre verilmektedir. Banka, işlem sırasında kullanıcının mobil cihazına tek kullanımlık şifre göndermektedir. Kullanıcı, şifrenin amaçlandığı işlemin parametrelerini belirten bir SMS mesajı alır. Tek kullanımlık şifrenin 5 dakika içinde ve yalnızca belirli bir işlemin tamamlandığını onaylamak için kullanılması gerektiğini lütfen unutmayın.

Dikkat! Tek kullanımlık şifre girmeden önce SMS mesajında ​​belirtilen detaylar ile yapılan işlemin detaylarını kontrol etmelisiniz. Sberbank adına sizin yapmadığınız bir işlemin ayrıntılarını içeren mesajlar alırsanız, Sberbank çalışanları adına sizinle iletişime geçilse bile, uygun formlara tek kullanımlık şifrenizi girmeyin ve bunu kimseye söylemeyin.

Ödeme şablonu oluşturma işlemi durumunda SMS örneği

54321 şablonun oluşumunu onaylamak için kullanılan tek kullanımlık bir şifredir.

Transfer işlemi için örnek SMS

54321 — aktarımı onaylayan tek kullanımlık şifre.

Ödeme işlemi için SMS örneği

54321 — ödemeyi onaylayan tek kullanımlık şifre.

İşlemleri tek kullanımlık şifre ile onaylama:

İşlemin onaylanması için mobil bankacılık servisine bağlı telefona işlem parametreleri ve onay şifresinin yer aldığı mesaj gönderilir.

İşlemi tamamlamak için şifreyi uygun alana girmeniz ve butona tıklamanız gerekmektedir. ONAYLAMAK.

Sberbank'tan tek kullanımlık şifreler alabildiğinizi umuyoruz.