NEWPS.CZ
OTP – One Time Password
OTP významně zvyšuje úroveň zabezpečení autentizace uživatelů do webových
aplikací a zachovává efektivní úroveň uživatelského komfortu.
Princip
Uživatel zadává na přihlašovací obrazovce kromě uživatelského jména a
hesla unikátní jednorázový číselný kód (OTP kód). OTP kód je generován
pomocí specializovaného zařízení nebo softwarové aplikace nainstalované
v počítači nebo mobilním zařízení (tzv. hardwarový nebo softwarový
token).
Volitelná rozšiřující komponenta AGW přidává podporu dalších variant
OTP autentizace:
Uživatel požádá o vygenerování OTP kódu systém, do nějž se hlásí.
Systém zašle kód v podobě SMS zprávy na uživatelův mobilní telefon.
Uživatel požádá o vygenerování OTP kódu systém, do nějž se hlásí.
Systém vytočí prostřednictvím telefonní ústředny číslo pevné linky nebo
mobilního telefonu uživatele a kód mu sdělí v hlasové podobě.
Bezpečnost
OTP kódy se generují na základě tzv. tajného klíče, který zná pouze
hardwarový, nebo softwarový token a cílový systém, do nějž se uživatel
přihlašuje.Bezpečnost přihlašování pomocí OTP kódů v SMS nebo hlasové
zprávě je založena na vlastnictví telefonu uživatelem. SMS nebo hlasová
zpráva s OTP kódem je uživateli zaslána až po ověření jeho uživatelského
jména a hesla – tím je zamezeno nechtěné spamování uživatele zprávami*.
Snadná registrace
Uživatel registruje do systému:
Tajný klíč hardwarového, nebo softwarového tokenu, nebo
číslo mobilního telefonu*, nebo
číslo pevné telefonní linky*.
Reference
„Nově zavedená kombinace běžného
a jednorázového hesla nabízí
uživatelům datových schránek
podstatně vyšší bezpečnost
přihlašování. Uživatelé mají tendenci
zapisovat si složitá hesla na různá
„tajná“ místa a riskovat tak jejich
kompromitaci. Použití jednorázových
hesel poskytuje uživateli datové
schránky další, jen jemu známé
tajemství, které se pro každé
přihlášení mění a je přenášeno
odděleným komunikačním kanálem
(mobilním telefonem). V tomto kanálu
ho internetový útočník nedokáže
zachytit.
Pro použití jednorázových hesel k
přístupu do schránky hovoří i to, že
jen velmi málo uživatelů je schopno
zvládnout komplikovaný proces
získání, užívání a každoroční obnovy
přístupových certifikátů. Použití
jednorázového hesla je mnohem
jednodušší. Aktivaci mobilního klíče
zvládne každý, kdo umí obsluhovat
mobilní telefon. Navíc, až do jeho
případné výměny není nutné nic
obnovovat ani znovu aktivovat.“
Radek Smolík
Bezpečnostní konzultant projektu ISDS
Telefónica Czech Republic, a.s.
* V případě použití komponenty AGW
OTP - když je autentizace certifikátem pro uživatele příliš složitá.
NEWPS.CZ
Na Žertvách 29/2247
180 00 Praha 8
tel: +420 283 007 311
fax: +420 283 007 399
www.newps.cz
[email protected]
NEWPS.CZ
Tolerance vůči chybám
Pokud uživatel vygeneruje ve svém zařízení nebo aplikaci více OTP kódů, ale pro přihlášení použije jen jeden,
systém přeskočí nepoužité kódy. Z bezpečnostních důvodů je možné přeskočit pouze určitý počet kódů.
OTP kód, odeslaný v SMS, nebo hlasové zprávě, je platný několik minut, aby se kompenzovaly případné časové
prodlevy při přenosu a uživateli nedorazil prošlý OTP kód*.
Podpora aplikací třetích stran
Řešení OTP lze integrovat se všemi aplikacemi, které podporují autentizaci uživatelů protokolem LDAP v3.
Technická specifikace
Řešení OTP je založeno na úložišti uživatelských identity eDirectory s nainstalovanou podporou OTP.
eDirectory provádí ověřování přihlašovacích údajů a OTP kódů, které jsou mu zasílány cílovým systémem,
do něhož se uživatelé přihlašují. Řešení je kompatibilní s hardwarovými klíči a aplikacemi, které používají pro
generování OTP algoritmus OATH HOTP podle RFC 4226.
Systémové požadavky na serverovou část
Operační systémy:
SUSE Linux Enterprise Server 11 + Service Pack
Red Hat Enterprise Linux 5 AP + Service Pack
Red Hat Enterprise Linux 6 + Service Pack
XEN
VMWare ESX
Požadavky pro integraci OTP:
aplikace s podporou autentizace uživatelů protokolem LDAP v3
Systémové požadavky na klienta
Windows – Windows 2000 Professional SP4 a vyšší
Mac OS – 10.5 a vyšší
Linux – Red Hat 4, SLED 10, OpenSUSE 10 a vyšší
Webové prohlížeče:
Internet Explorer 7 a vyšší
Mozilla Firefox 3.0 a vyšší
Opera 10 a vyšší
Safari 4 a vyšší
Google Chrome 5 a vyšší
Požadavky na prostředky pro generování OTP kódů
Podporované hardwarové tokeny:
další zařízení s podporou algoritmu HOTP
podle RFC 4226
ZyWALL OTP
Podporované aplikace:
OATH Token (pro iPhone, iPod, iPad)
Android Token (pro Android)
OathToken (pro mobilní telefony s podporou Java)
další aplikace s podporou algoritmu HOTP podle
RFC 4226
Zasílání SMS zpráv vyžaduje*:
SMS bránu, nebo
Telefonní ústřednu podporující protokol SIP
* V případě použití komponenty AGW
NEWPS.CZ
Na Žertvách 29/2247
180 00 Praha 8
tel: +420 283 007 311
fax: +420 283 007 399
www.newps.cz
[email protected]
Download

OTP – One Time Password