Безопасная авторизация по TOTP
Компания "Актив" представила новое пользовательское устройство - аутентификатор Рутокен ОТР. Оно предназначено для надежной защиты учетных записей пользователя за счет реализации двухфакторной аутентификации.
В Рутокен ОТР реализован алгоритм создания одноразовых паролей на основе времени (TOTP Time-Based One-Time Password), поэтому устройство подходит для аутентификации в различные клиентские приложения. В том числе онлайн-сервисы, где поддерживается работа приложений - аутентификаторов, как Google Authenticator, Яндекс.Ключ и их аналоги.
Популярные технологии по реализации одноразовых паролей
В настоящее время наиболее распространенным методом аутентификации является связка логин-пароль, но при использовании только этого метода высоки риски компрометации пользовательской учетной записи и утечки конфиденциальной информации.
Для усиления аутентификации были придуманы одноразовые пароли. Самыми популярными технологиями аутентификации с помощью одноразовых паролей являются SMS и PUSH-уведомления и звонки.
- SMS-аутентификация производится по телефонному номеру, на который высылается одноразовый код.
- PUSH-аутентификация производится по коду из загруженного на телефон приложения.
- Flash Call - аутентификация производится по входящему звонку, где последние 4 (6) цифр номера являются кодом для ввода.
Несмотря на их простоту, они имеют ряд недостатков. Для использования PUSH-уведомлений необходимо подключение к Интернету, а для безопасного использования SMS необходимо обеспечить доверие к мобильным операторам.
Кроме этого, аутентификация с использованием PUSH-уведомлений, SMS и звонков является двухэтапной, но всё же однофакторной аутентификацией, т.к. одноразовый пароль генерируется на сервере, где и происходит аутентификация, а затем передается пользователю.
А двухфакторная аутентификация — это подтверждение входа с помощью двух разных факторов (знание, владение, свойство).
Существует другая более продвинутая и не имеющая указанных недостатков технология аутентификации с помощью одноразовых паролей - TOTP.
Одноразовые пароли в таком случае генерируются независимо. Генерация происходит на стороне пользователя и на сервере, где происходит аутентификация. Аутентификация будет считаться успешной, если одноразовый пароль, предоставленный пользователем, совпадает с одноразовым паролем, вычисленным на сервере.
Одноразовые пароли вычисляются на основе криптографических преобразований и меняются через определенный промежуток времени. Для каждого запроса на доступ в учетную запись требуется использовать новый пароль, действительный только для одного входа в систему.
Что такое Рутокен ОТР и сценарий его использования
Рутокен ОТР представляет собой миниатюрное устройство с кнопкой и экраном, на который выводится одноразовый пароль.
Во время аутентификации пользователь вводит свой логин-пароль и одноразовый пароль c экрана Рутокен ОТР. Для того чтобы одноразовые пароли на Рутокен ОТР и сервере аутентификации совпали, на сервере и устройстве должны быть одинаковые параметры - секретный ключ и время.
По протоколу NFC на Рутокен ОТР можно импортировать секретный ключ и настроить параметры протокола TOTP, либо с помощью мобильного устройства, либо с помощью персонального компьютера с NFC-считывателем.
Основные возможности, которые обеспечивает Рутокен ОТР
- Устройства предоставляют возможность аутентификации на всех площадках, где поддерживается TOTP. Например, Яндекс, mail.ru, vk.ru, аккаунты Google и другие.
- Пользователь незначительно меняет привычный для себя сценарий аутентификации. Для входа в свою учетную запись достаточно ввести логин-пароль и одноразовый пароль, отображаемый на экране Рутокен ОТР.
- Устройства являются полностью автономными. Для работы не требуется подключение к Интернету, связи с ПК/мобильным устройством. Время на устройстве вычисляется с помощью аппаратного таймера. Время жизни батарейки до пяти лет при нормальном использовании.
- Устройства поддерживают импорт секретных ключей и настройку параметров по NFC. Рутокен ОТР поддерживает выработку одноразовых паролей по протоколу TOTP на основе времени, секретного ключа, с использованием алгоритмов HMAC-SHA1 и HMAC-SHA256.
Рутокен OTP - удобный и простой в использовании, отлично подойдет для безопасной аутентификации в корпоративных сервисах и порталах. Рутокен ОТР доступен к заказу на нашем сайте.