One-time password - OTP

هدف از OTP پیچیده ترشدن دسترسی های غیر مجاز به منابع اطلاعاتی می باشد و شبیه کلمه کاربری شما در کامپیوترتان عمل می کند.تجربه نشان داده است Password های ایستا که برروی یک سیستم تعریف می شوند ، بسیار سریع و با تلاش اندکی توسط کاربران غیر مجاز کشف و مورد استفاده قرار می گیرند.با تغییر دائمی کلمه عبور که بوسیله OTP انجام می شود ، خطر دسترسی های غیر مجاز تا حد زیادی کم خواهد شد.
 

اساسا سه روش جهت پیاده سازی One Time Passwords وجود دارد :


1. در روش اول از الگوریتم های ریاضی جهت تولید کلمه عبور جدید از طریق کلمه عبور قدیم استفاده می شود
2. روش دوم برپایه انطباق زمانی میان سرور تشخیص اعتبارو سیستم کاربر کلمه عبور تولید میگردد.
3. در روش سوم نیز از الگوریتم های ریاضی جهت تولید کلمه عبور جدید استفاده می شود با این تفاوت که کلمه عبور جدید برپایه یک عدد تصادفی که بوسیله سرور تشخیص اعتبار انتخاب می شودویک شمارنده (به جای استفاده از کلمه عبور قدیم) تولید می گردد

Implementation of a mathematical algorithm type OTP


یکی از راه حل ها که به Leslie Lamport نسبت داده شده است ، از توابع یکسویه استفاده می کند.دراین روش سیستم OTP با هسته مرکزی s مقدار دهی می شود و سپس کلمه های عبور را هر چقدر که لازم باشد تحت تابع f تولید می کند.f(s),f(f(s)),f(f(f(s))),…
اگر سری بی نهایتی کلمه عبور لازم باشد ، مقدار اولیه جدید همان کلمه عبور مرحله قبل خواهد بود.هر کلمه عبور توزیع معکوسی است از f(f(…f(f(s))…) به f(s(.
اگر مهاجمی یکی از کلمات عبور OTP را بدست آورد ، تنها می تواند یک بار به سیستم دسترسی یابد ویا یکبار به سیستم Login نماید و پس از آن کلمه عیور مذکور غیر معتیر خواهد شد.برای بدست آوردن کلمه عبور بعدی نیاز است راهی برای محاسبه تابع معکوس f پیدا کرد که باتوجه به اینکه تابع f یک تابع یک سویه می باشد(one-way) تابع معکوس به سختی بدست می آید.درصورتی که f یک تابع هش رمزدار (cryptographic hash function) باشد که معمولا نیز چنین است ، انجام این عمل یسیار دور از دسترس می نماید.

 

Implementation of a time-synchronized type OTP


این نوع OTP معمولا با یک سخت افزار token در ارتباط است.به هر کاربریک token شخصی داده می شودکه OTP را تولید می کند.در داخل token یک clock بسیار دقیق وجود دارد که با clock سرور تشخیص اعتبار همزمان شده است.دراین سیستمهای OTP ،زمان بخش بسیار مهمی از الگوریتم تولید کلمه عبور را تشکیل می دهد زیرا تولید کلمه های عبور جدید بر پایه زمان حال نسبت به کلمه عبور قبلی یا یک کلید محرمانه تولید می شود.
تلفن های موبایل و PDA ها نیز می توانند time-synchronized OTP تولید نمایند.این راه حل می تواند بسیار مقرون به صرفه باشد زیرا بیشتر کاربران اینترنت تلفن موبایل دارند.به علاوه این راه حل بسیار مناسب تر از روش پیش است (روش استفاده از دستگاه Token) زیرا کابران مجبور به حمل یک دستگاه اضافی جهت تولید token و کسب اجازه دسترسی نمی باشند.

Implementation of a challenge type OTP


برای استفاده از OTP نیاز است کاربر یک عدد تصادفی را جهت تشخیص اعتبار آماده نماید که برای پرهیز از تکراری بودن آن یک شمارنده نیز به آن اضافه می شود.بنابراین اگر عدد تصادفی ، به صورت تکراری تولید شود شمارنده ، باعث می شود نتیجه متفاوت بدست آید.

مقایسه
درروش استفاده از time-synchronized OTP نکات مثبتی وجود داردکه باعث می شود کاربران تمایل بیشتری در استفاده از این روش نشان می دهند چرا که نیاز به وارد نمودن کلمه عبور توسط کاربر و بروز اشکال هنگام تایپ آن بوجود نخواهد آمد.
فن اوری که عموما جهت تحویل کلمه عبور تولید شده توسط سیستم OTP استفاده می شود، پیام کوتام (SMS ) می باشد.زیرا که sms یک کانال ارتباطی است که در هر نقطه ای قابل دسترس است و توسط تمامی گوشی های موبایل قابل دسترس است.همچنین هزینه بسیار کمتری را دربر می گیرد.Token ها ، کارت های هوشمند و روش های رایج شناسایی ، یسیار هزینه بر جهت اجرا و پشتیبانی می باشند و توسط کاربران نیز به سختی پذیرفته می شوند. همچنین ممکن است Token ها توسط کاربران مفقود شوند و شاید مجتمع نمودن OTP در موبایل ساده تر و امن تر باشد زیرا ، لازم نیست مشتریان یک وسیله سخت افزاری دیگری را نیز جهت تولید OTP به همراه داشته باشند.
 

نویسنده : شبنم الحوان

 
 

 

 

Copyright © 1999-2014 Parslan Co.,Ltd

کلیه حقوق محفوظ است.,استفاده از مطالب با ذکر منبع آزاد است