آی تی آموزی/ رمز یکبارمصرف (OTP) چیست؟

بروزرسانی 1393/10/23 - 21:35

پليس فتا/ چکيده دردنياي امروز با وجود طيف وسيعي از فن آوريها، فرآورده ها و محصولات، راه حل هايي متناسب براي ايمن سازي زير ساختارهاي الکترونيکي مؤسسات و سازمانها ارائه شده است. در مواردي که امنيت فيزيکي و دستيابي به آن مد نظر باشد، سطوح امنيتي مورد نظر نيز بايستي متناسب با سطح ترکيب و پيچيدگي سازمان و مؤسسه،‌ برنامه هاي کاربردي مورد استفاده، داده هاي موجود و اندازه گيري و سنجش خطرات و ريسکهاي موجود گسترش يابد. اساسي ترين روش موجود جهت ايجاد امنيت الکترونيکي استفاده از رمز عبور ميباشد که اغلب بعنوان يک شيوه رايج جهت دسترسي به منابع و داده هاي الکترونيکي بکار گرفته مي شود.که در اين ميان استفاده از رمزهاي عبور يک بار مصرف براي انجام تراکنش هاي بانکي به شدت احساس مي شود تا ضريب امنيتي بالايي براي مشتريان و کاربران فراهم آورد و کاربران با آرامش و آسايش خاطر بيشتر مبادرت به انجام امور روزمره بانکي و تجاري نمايند. مقدمه با توجه به گستردگي تراکنش هاي بانکي و انجام حداکثري تراکنش ها در بستر اينترنت ،بانکداري الکترونيکي و افزايش مبادلات در اين حوزه لزوم به کارگيري شيوه هاي مدرن در جهت بالابردن امنيت اين نوع تراکنش ها با استفاده ازرمزهاي يکبار مصرف مقرون به صرفه مي نمايد.. رمز يک بار مصرف يا OTP - One Time Password يک جايگزين براي رمز دوم مي باشد رمز يکبار مصرف براي ايمن سازي دسترسي کاربران به سيستم هاي الکترونيکي ارائه شده که در آن از قابليت هاي رمز نگاري براي توليد رمز تصادفي يک بار مصرف استفاده مي شود. براي اينکه کاربران استفاده کننده از خدمات بانکداري اينترنتي امکان جابجايي مبالغ بالاتر و ايمن را داشته باشند. کلمه OTP چيست؟ واژه OTP و يا One Time Password يک روش محافظت از اطلاعات براي جلوگيري از سرقت رمز عبور مي باشد که رمز عبور با استفاده از روش هاي رمز نگاري توليد مي گردد و تنها براي يک بار ورود به سيستم معتبر است ، مهمترين مزيت استفاده از OTP و يا رمز يک بار مصرف اين است، که سرقت اطلاعات با دانستن رمز عبور غير ممکن مي گردد. تکنولوژي OTP تکنولوژي OTP جهت انجام تراکنش هاي امن بانکي در حوزه Web کاربرد دارد بر اساس کارت و يا ابزاري که توسط بانک به مشتري داده مي شود، براي انجام هر تراکنشي يک رمز توليد مي شود که تنها براي يک بار اعتبار دارد. در اين تکنولوژي رمز يکبار مصرف بر اساس الگوريتم تعريف شده در ابزار کاربر و در سرور مرتبط توليد مي شود و داراي انواع مختلفي نظيرresponse challenge, time- base و غيره مي باشد. امنيت OTP به دليل استفاده از امکانات استاندارد رمزنگاري ، بسيار بالا مي باشد. برنامه نويسان هر اندازه که نکات امنيتي را در برنامه نويسي و سمت سرور لحاظ کند، روي امنيت سمت کلاينت (کاربر) تسلط و کنترل کاملي ندارد. چون مرورگر دسترسي‌هاي محدودي به آنها مي‌دهد. از ضعف‌هاي سمت کاربر که مي‌تواند موجب بدست آوردن پسورد کاربران (مديران) سايت شود، برنامه هاي کي‌لاگرهستند که کي لاگر ها ممکن است به دو صورت سخت افزاري و نرم افزاري به کار برده شوند. key logger ها، همه کليدهاي فشرده شده روي کيبورد را ذخيره و به سازنده آن کي‌لاگر ارسال مي‌کنند.

روش‌هايي براي مقابله با اين خطر وجود دارد که استفاده از کيبورد مجازي يکي از روش‌هاي آن است. در حال حاضر نيز در صفحه پرداخت اينترنتي بسياري از بانک‌ها قابل استفاده مي باشد.اما با روش هاي نوين جاسوسي و با استفاده ازعکس برداري از صفحه نمايش وهمزمان با کليک کاربر اقدام به ثبت مختصات مورد نظر مي نمايند که اين روش نيز نوعي امنيت کيبورد هاي مجازي را به چالش مي کشد. از اين رو بهترين راه مقابله با کي‌لاگرها، استفاده پسورد يکبار مصرف است که از روشي غير از کامپيوتر فعلي کاربر، به دستش برسد. در اين حالت، کي‌لاگري که پسوردها را ذخيره و به سازنده‌اش ارسال مي‌کند، بي‌اثر مي‌شود چون پسورد ذخيره شده توسط کي‌لاگر، فقط يکبار معتبر بوده است و تنها يکبار ميتوان از ان استفاده نمود. پسورد يکبار مصرف توليد شده، نبايد توسط کامپيوتر کاربر (يا حتي وسيله ديگري با همان خط اينترنت) به دست کاربر برسد زيرا در اين‌صورت؛ علاوه بر کاربر، برنامه جاسوس نيز مي‌تواند به آن دست يابد. نحوه توليد رمز عبور OTP رمز عبور با استفاده از الگوريتمهاي رياضي و به صورت تصادفي توليد مي گردد، در واقع همين روش توليد باعث مي گردد که حدس رمز عبور براي انسان غير ممکن گردد روش هاي متعددي براي توليد رمز وجود دارند .با استفاده از زمان، رمز عبور فقط براي زمان کوتاهي براي اعتبار سنجي معتبر است اين روش با استفاده از معادل سازي زمان توليد کننده رمز و استفاده کننده آن عمل مي کند. بر اساس رخداد، در اين روش در زماني که رخداد مشابه بين اعتبار سنج و استفاده کننده رخ دهد رمز يک بار مصرف توليد مي گردد. روش Challenge Response، که رمز عبور بر اساس اطلاعات Challenge توليد مي گردد. به غير از استفاده از Token روش هاي ديگري نيز براي توليد رمز OTP وجود دارد به طور مثال استفاده از نرم افزار هاي سمت کاربر، توليد رمز يک بار مصرف و ارسال آن از طريق روش هاي Out of band مانند ارسال از طريق SMS، و يا حتي چاپ کردن آن روي کاغذ. نحوه عملکرد 1-کاربر اطلاعات مربوط به تراکنش هاي مالي راوارد مي کند. 2-کاربر توکن را مقابل مانيتور نگه داشته و توکن اطلاعات مربوط به تراکنش را اسکن مي نمايد 3-توکن اطلاعات اسکن شده را براي اطمينان از صحت اطلاعات به کاربر نمايش مي دهد. 4-کاربر روي توکن کليک کرده و توکن امضاي ديجتال راتوليد مي نمايد. 5-کاربر امضاي الکترونيک دريافتي از توکن را داخل پورتال تايپ مي کند 6-بانک تراکنش مالي را تاييد مي کند.و در صورت تطابق تراکنش انجام مي گيرد. رمزهاي يکبار مصرف معمولا به 3 روش به دست کاربر مي‌رسد. از طريق ارسال پيامک به موبايل کاربر

شماره موبايل کاربر پس از ثبت در سيستم و سنجش اعتبار آن، يکي از راه‌هاي متداول براي ارسال رمز يکبار مصرف است. توليد و نمايش/پرينت تعدادي رمز يکبار مصرف مي‌توان به تعداد لازم (n) رمز يکبار مصرف، براي يک دوره زماني (مثلا يک ماه) توليد کرد تا کاربر آن را يادداشت/پرينت کند و هر بار يکي از آنها را استفاده کند. استفاده از يک سخت افزار مستقل از کامپيوتر کاربر و شبکه اينترنت اين روش که با استفاده از يک سخت افزار مستقل از کامپيوتر کاربر که نيازي هم به شبکه و اينترنت ندارد، رمزيکبارمصرف را توليد مي نمايد.شرکت‌هاي بزرگ تجاري، يک وسيله کوچک و کاملا مستقل براي اين امر تهيه و در اختيار مشتريانشان قرار مي‌دهند. در ايران نيز برخي از بانک ها وسيله‌اي به نام «دستگاه رمزياب» براي توليد رمز يکبارمصرف در اختيار مشتريان قرار مي‌دهند. نتيجه گيري رمزهاي يکبار مصرف، بسياري ازنقاط ضعف رمزهاي قديمي يا همان رمزهاي ثابت را پوشش مي‌دهد. و امنيت بيشتري را فراهم مي آورد.مهم‌ترين نقصي که توسط رمز يکبار مصرف جبران مي‌شود، عدم آسيب‌پذير بودن در تکرار حملات است. با استفاده از اين روش، يک مزاحم بالقوه که به نحوي موفق به دستيابي رمز يکبار مصرف مي‌شود که قبلاً با آن به سرويسي دسترسي پيدا کرده‌اند يا تراکنشي انجام شده است، ديگر قادر نخواهد بود تا از آن سوءاستفاده کند، چرا که اين رمز باطل شده است. خرده‌اي که به رمز يکبار مصرف گرفته مي‌شود، دشواري در به‌خاطرسپاري آنها توسط انسان است که به همين دليل بهره‌گيري از فناوري کمکي، در استفاده از رمز يکبار مصرف، الزامي است.