16.5.4. Одноразовые пароли Чтобы избежать проблем с перехватом паролей и сёрфингом, система может использовать набор парных паролей. Когда начинается сеанс, система случайным образом выбирает и представляет одну часть пары паролей; пользователь должен предоставить другую часть. В этой системе пользователь получает вызов и должен ответить правильным ответом на этот вызов. Этот подход может быть обобщен на использование алгоритма в качестве пароля. В этой схеме система и пользователь совместно используют симметричный пароль. Пароль передается через среднюю часть экспозиции. Скорее всего, пароль используется для ввода в действие функции, представленной системой. Затем пользователь вычисляет функцию H(pw, ch). Результат этой функции передается в качестве аутентификатора на компьютер. Поскольку компьютер также знает pw и ch, он может выполнять те же вычисления. Если результаты совпадают, пользователь проходит проверку подлинности. В следующий раз, когда пользователь должен пройти аутентификацию, генерируется другой канал и выполняются те же шаги. На этот раз аутентификатор другой. Такие алгоритмические пароли не подвержены повторному использованию. Таким образом, пользователь может ввести пароль, а также пароль, который нужно использовать. Этот тайм-пароль позволяет использовать только несколько способов предотвращения взлома аутентификации из-за взлома пароля. Системы одноразовых паролей реализуются различными способами. Коммерческие реализации используют аппаратные калькуляторы с дисплеем или дисплеем и цифровой клавиатурой. Эти калькуляторы обычно принимают форму кредитной карты, ключа-цепочки или устройства USB. Программное обеспечение, работающее на компьютерах или смартфонах, предоставляет пользователю H(pw, ch); pw может быть введен пользователем или сгенерирован калькулятором синхронно с компьютером. Иногда pw - это просто персональный идентификационный номер (PIN). Выходные данные любой из этих систем показывают одноразовый пароль. Генератор одноразовых паролей, который требует ввода пользователем, включает двухфакторную аутентификацию. В этом случае необходимы два разных типа компонентов - например, генератор одноразовых паролей, который генерирует правильный ответ, только если PIN-код действителен. Двухфакторная аутентификация предлагает защиту от аутентификации, а не однофакторную аутентификацию, потому что для этого требуется «что-то, что у вас есть», а также «что-то знаешь."
Достарыңызбен бөлісу: |