Egyszer használatos jelszó
Egyszer használatos jelszó (angolul: one-time password, röviden OTP) olyan jelszótípus, amely kizárólag egyetlen hitelesítési eseményre érvényes. Az OTP célja, hogy megelőzze a jelszavak újrafelhasználásával vagy lehallgatásával végrehajtott támadásokat, például a jelszólopást vagy az adathalászatot. A rendszer minden alkalommal új, rövid élettartamú azonosítót generál, amely jellemzően egy alkalmazás, hardveres token, SMS vagy e-mail útján jut el a felhasználóhoz.
Az egyszer használatos jelszavakat gyakran alkalmazzák többtényezős hitelesítés (MFA) részeként, például a felhasználónév és jelszó mellett második biztonsági rétegként. A leggyakoribb megvalósítási formái a HMAC-alapú (HOTP) és az időalapú (TOTP) algoritmusokon alapulnak, amelyeket az Internet Engineering Task Force (IETF) RFC szabványai írnak le.
Típusai
[szerkesztés]Az egyszer használatos jelszavaknak több megvalósítása létezik, de a legelterjedtebbek az alábbiak
Eseményalapú egyszer használatos jelszó (HOTP)
[szerkesztés]A HMAC-alapú egyszer használatos jelszó (HOTP) minden egyes eseményhez – például egy gombnyomáshoz vagy belépési kísérlethez – új jelszót generál. A rendszer egy számlálót használ, amely minden új kéréskor növekszik, így biztosítva az egyediségét. Ez a típus kevésbé érzékeny az időeltérésre, de a kliensek és a szerverek közötti szinkronizáció fontos.
Időalapú egyszer használatos jelszó (TOTP)
[szerkesztés]Az időalapú egyszer használatos jelszó (TOTP) az aktuális idő alapján generál jelszavakat. Jellemzően 30 másodperces időablakokban érvényesek, és a Unix-idő alapján kiszámított időlépést használják. A TOTP algoritmust az RFC 6238 szabvány írja le, és ez az egyik leggyakrabban használt forma okostelefonos hitelesítő alkalmazásokban, például a Google Authenticator vagy Aegis esetén.
Egyéb formák
[szerkesztés]Egyes rendszerek e-mailben vagy SMS-ben küldött egyszer használatos kódokat alkalmaznak, amelyek jellemzően rövid ideig érvényesek. Bár ezek kényelmesek, biztonsági szempontból sérülékenyebbek, például SIM-csere csalás vagy lehallgatás révén.
Használati területek
[szerkesztés]Az egyszer használatos jelszavakat széles körben alkalmazzák olyan helyzetekben, ahol a hagyományos, állandó jelszavak nem nyújtanak megfelelő védelmet. Ezek a megoldások különösen fontos szerepet játszanak a többtényezős hitelesítés (MFA) rendszereiben, ahol második biztonsági rétegként működnek.
Banki és pénzügyi szolgáltatások
[szerkesztés]Számos bank és pénzügyi intézmény használ SMS-ben vagy mobilalkalmazáson keresztül küldött egyszer használatos jelszavakat azonosításra és tranzakciók megerősítésére. Ezáltal csökkenthető a jogosulatlan hozzáférés és a csalás kockázata.
Belépés védett rendszerekhez
[szerkesztés]Különösen vállalati környezetben terjedt el a TOTP-alapú hitelesítés, például VPN-kapcsolatok, távoli szerverek vagy adminisztrációs felületek eléréséhez. A felhasználónév és jelszó mellett a felhasználónak egy időalapú kódot is meg kell adnia, amelyet általában egy mobilalkalmazás generál.
Webes szolgáltatások
[szerkesztés]Számos online platform – például e-mail szolgáltatók, közösségi oldalak vagy fejlesztői portálok – kínál TOTP-alapú kétlépcsős azonosítást. A legismertebb hitelesítő alkalmazások közé tartozik a Google Authenticator, az Aegis, a FreeOTP és a Microsoft Authenticator.
Egyszeri belépés (SSO) rendszerek
[szerkesztés]Komplex vállalati környezetekben az egyszer használatos jelszavakat gyakran integrálják SSO-rendszerekbe. Így a felhasználónak elég egyetlen biztonságos bejelentkezés, de az OTP tovább növeli a biztonságot.
Biztonsági előnyök és kockázatok
[szerkesztés]Az egyszer használatos jelszavak legfőbb előnye, hogy nem lehet őket újra felhasználni. Még ha egy támadó meg is szerez egy adott kódot (például lehallgatás vagy adathalászat révén), az rövid időn belül érvénytelenné válik, és nem használható fel újra.
Előnyök
[szerkesztés]- Lejáró érvényesség – különösen a TOTP-kódok esetében, ahol 30 másodperc elteltével már más jelszó érvényes.
- Csökkent újrafelhasználási kockázat – a megszerzett kód nem használható fel később.
- Második tényezőként való alkalmazhatóság – erősíti a jelszavas védelem biztonságát.
- Széles körű támogatottság – számos nyílt forráskódú és kereskedelmi alkalmazás támogatja (pl. Aegis, Bitwarden, KeePassXC, FreeOTP stb.)
Kockázatok és korlátok
[szerkesztés]- Gépi lehallgatás elleni védelem hiánya – ha a kódot nem titkosított csatornán (pl. SMS-ben) küldik, lehallgatható.
- SIM-csere támadás (SIM swap) – támadók megszerezhetik az SMS-ben küldött kódokat, ha hozzáférnek az áldozat telefonszámához.
- Időszinkronizáció hibák – TOTP esetén az eszköz órája és a szerver közti eltérés hibás hitelesítést okozhat.
- Közös titok kompromittálódása – ha a szerver és a kliens közti megosztott titkos kulcs kiszivárog, a támadó tetszőleges érvényes kódokat generálhat.
- Valós idejű adathalászat – ha a felhasználót egy támadó ráveszi, hogy az aktuális OTP-t gépelje be egy hamis oldalon (pl. proxyzással), az kód továbbítható a valós bejelentkezéshez.
Jegyzetek
[szerkesztés]Források
[szerkesztés]- HOTP: An HMAC-Based One-Time Password Algorithm. IETF, 2005. december 1. (Hozzáférés: 2024. május 7.)
- TOTP: Time-Based One-Time Password Algorithm. IETF, 2011. május 1. (Hozzáférés: 2024. május 7.)
- Back to basics: Multi-factor authentication. NIST, 2016. június 28. [2021. április 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2024. május 7.)
- (2023. február 22.) „Bypassing Multi-Factor Authentication”. ITNOW 65 (1), 42–45. o. DOI:10.1093/combul/bwad023.
- (2023) „How effective is multifactor authentication at deterring cyberattacks?”. arXiv preprint. arXiv 2305.00945.