OTP può essere conosciuto come una nuova generazione di tecniche di sicurezza delle password, ma voglio sapere se è ancora abbastanza sicuro dopo diversi anni di apparizione o sarà presto deprecato? & quale sarebbe la possibile sostituzione per questo?
Le password monouso (da non confondere con "One-Time Pad", una tecnica teoricamente perfetta ma praticamente pesante per la crittografia) sono un concetto sonoro che non può, come tale, deprecare. Significa semplicemente: una determinata password (cioè un valore segreto condiviso tra il prover e il verificatore, usato per l'autenticazione) può essere usato solo una volta con il verificatore; in altre parole, se il verificatore (ad esempio un server che si desidera accedere) accetta una password ma rifiuta qualsiasi ulteriore tentativo con la stessa password, allora è una password monouso.
Password singola schemi sono sistemi che utilizzano il concetto Password una tantum e stabiliscono regole e meccanismi per le due parti (prover e verificatore) per condividerne effettivamente uno -time password. Qualsiasi schema può essere debole o strong, rotto, deprecato ... ma il concetto è illeso.
I tokenRSA SecurID possono essere visualizzati come un'incarnazione del concetto di password monouso - una variante con un orologio, in realtà - e sono molto vivi.
HOTP è uno standard gratuito e aperto per la generazione di password monouso (con un contatore interno), che può essere implementato da token hardware estremamente economici.
(I tradizionali schemi di autenticazione delle password monouso per i server Unix utilizzano la generazione di software di elenchi di password, che gli utenti devono stampare e conservare nel loro portafoglio, eliminando le password utilizzate. Questo non è mai diventato popolare - immagino che sia troppo low-tech, gli utenti non sono abbastanza stupiti da dimenticare l'inconveniente di giocherellare con un oggetto tangibile).
Le password una tantum (come implementate da RSA SecurID o altri fornitori) sono teoricamente sicure, ma come con tutti i controlli di sicurezza hanno dei limiti che devono essere considerati durante la progettazione del sistema di sicurezza.
L'implementazione OTP potrebbe avere difetti di implementazione o di progettazione che potrebbero consentire di aggirarli.
L'OTP può essere intercettato e utilizzato dagli aggressori attraverso l'intermediazione di trojan o attacchi XSS, ad esempio nella fase di autenticazione (spesso con un apparente rifiuto di servizio all'utente in quanto un altro utente utilizza l'OTP appena immesso, invalidando così esso).
Soprattutto, i sistemi OTP spesso si limitano ad autenticare un utente invece di autenticare una transazione. Una volta che un utente è autenticato, un trojan può riutilizzare la tua sessione web autenticata con la tua banca, ad esempio per eseguire transazioni a tuo nome in modo subdolo.
Anche se penso che le OTP abbiano ancora un futuro brillante davanti a loro, saranno potenziate da ulteriori controlli di sicurezza e in particolare cercheranno sempre più di affrontare il problema dell'autenticazione della transazione anziché limitarsi all'autenticazione solo dell'utente.
Le password One Time sono un concetto di autenticazione a due fattori. Qualcosa che l'utente conosce (password) e qualcosa che l'utente ha (generatore OTP).
La password One Time è la prova del possesso. In questo caso la "prova di possesso" funziona così:
La One Time Password è generata da un algoritmo come HOTP (RFC4226) o TOTP (RFC6238) basato su una chiave crittografica secret e un fattore di movimento. L'utente è in grado di presentare la password una sola volta corretta se è in possesso della chiave segreto .
Questo è il motivo per cui dovresti prenderti cura di questa chiave segreta e diffidare delle applicazioni per smartphone per OTP come Google Authenticator .
Ma il concetto di base di OTP è lo stesso di come eseguire la crittografia a chiave pubblica con la risposta a una sfida. Il possesso è il possesso di una chiave secret o privata .
OTP usa una chiave segreta e non una chiave privata , poiché l'utente dovrebbe essere in grado di digitare il risultato (valore OTP). Utilizzando una chiave privata , ciò non sarebbe possibile, poiché il risultato dell'operazione della chiave privata è troppo lungo.
Uno scenario chiave privato ha sempre bisogno dell'hardware da collegare alla macchina (vedi login con smart card). ... e questo richiede driver e connettori. (Provalo con l'iphone 11; -)
Quindi sì, penso che il concetto base di OTP - a.k.a. usando una chiave secret - sarà ancora in circolazione per un po '.
Leggi altre domande sui tag authentication passwords one-time-password