Wat is een eenmalig wachtwoord (OTP)?

OTP staat voor eenmalig wachtwoord, ook wel bekend als een eenmalige PIN-code of dynamisch wachtwoord. Het is een unieke, automatisch gegenereerde tijdelijke code die wordt gebruikt voor een enkele authenticatiesessie of transactie.

In tegenstelling tot traditionele statische wachtwoorden, veranderen OTP's elke keer dat ze worden gebruikt en vervallen ze na een korte periode. Dit maakt ze een zeer veilige methode van authenticatie, omdat ze veel moeilijker te stelen en hergebruiken zijn door aanvallers.

OTP's worden veel gebruikt in verschillende beveiligingstoepassingen, waaronder internetbankieren, e-commerce en het beveiligen van toegang tot gevoelige gegevens of systemen. Ze worden ook vaak gebruikt als tweede factor in multi-factor authenticatie (MFA) om een extra beveiligingslaag toe te voegen. Door iets dat de gebruiker weet (bijv. een wachtwoord) te combineren met iets dat ze hebben (bijv. een mobiel apparaat), zijn OTP's een essentieel hulpmiddel geworden in moderne authenticatiesystemen.

Hoe werkt OTP?#

Er zijn verschillende soorten OTP's, die elk op verschillende manieren worden gegenereerd en geleverd voor verschillende gebruikssituaties. Enkele veelvoorkomende methoden van OTP's zijn:

SMS OTP / E-mail OTP#

SMS OTP of E-mail OTP is een van de eenvoudigste vormen van OTP's, waarbij een unieke code door een server wordt gegenereerd en veilig naar de gebruiker wordt verzonden via SMS of e-mail. De gebruiker voert vervolgens deze code in om zichzelf te authenticeren.

Hoe het werkt:

• De gebruiker vraagt een OTP aan bij de server.
• De server genereert een willekeurige numerieke of alfanumerieke code en stuurt deze naar de gebruiker via SMS of e-mail.
• De gebruiker haalt de OTP op uit hun SMS- of e-mailinbox en voert deze in de applicatie in.
• De server verifieert de code met zijn gegevens en verleent toegang als de code geldig is.

Beveiligingsmaatregelen:

• De OTP is slechts een korte periode geldig (bijv. 5 minuten) om het risico op onderschepping en herhalingsaanvallen te minimaliseren.
• Het SMS-leveringskanaal is afhankelijk van mobiele netwerken, waardoor het kwetsbaar is voor onderschepping via SIM-swapping-aanvallen of andere kwetsbaarheden in de telecominfrastructuur.
• E-mail-gebaseerde OTP's zijn alleen zo veilig als het e-mailaccount van de gebruiker. Als het e-mailaccount is gecompromitteerd, kan de OTP worden onderschept.

Gebruiksscenario's:

SMS- en e-mail-OTP's worden vaak gebruikt in toepassingen die gericht zijn op consumenten, zoals internetbankieren, e-commerce en sociale mediaplatforms. Ze zijn niet alleen veiliger dan statische wachtwoorden, maar bieden ook een gemakkelijke manier voor gebruikers om zichzelf te authenticeren zonder complexe wachtwoorden en beveiligingsvragen te onthouden.

Aangezien de meeste gebruikers te allen tijde toegang hebben tot een mobiele telefoon of e-mailaccount, zijn SMS- en e-mail-OTP's een geprefereerde keuze geworden voor gebruikersauthenticatie, verificatie van eigendom van e-mailadressen of telefoonnummers en wachtwoordherstel.

HMAC-gebaseerde OTP (HOTP)#

HMAC-gebaseerde OTP, gedefinieerd in RFC 4226, is een tijdgesynchroniseerd OTP-algoritme dat een reeks eenmalige codes genereert op basis van een geheime sleutel en een tellerwaarde. Elke OTP is afgeleid door de geheime sleutel en tellerwaarde te hashen met behulp van een cryptografische hash-functie (bijv. SHA-1, SHA-256).

Hoe het werkt:

1. Geheim: HOTP vereist een gedeelde geheime sleutel tussen de server en de client.

2. Teller: De server en client houden een tellerwaarde bij die met elk OTP-generatie wordt verhoogd.

3. De client berekent de HMAC-SHA1 (of andere hash-functies) hash van de tellerwaarde (C) met behulp van de gedeelde geheime sleutel (K)

   • H = HMAC-SHA1(K, C)

4. De hash-waarde wordt ingekort tot een 6- of 8-cijferige code (afhankelijk van de implementatie) om de OTP te genereren.

   • OTP = Truncate(H)mod 10^d

5. De server houdt de tellerwaarde bij en verifieert de binnenkomende OTP door de hash-waarde te berekenen met dezelfde tellerwaarde en geheime sleutel. (Als er een kleine mismatch is, kan de server een klein venster van tellerwaarden toestaan, bijvoorbeeld een of twee toenames, om synchronisatieproblemen op te vangen)

Beveiligingsmaatregelen:

• HOTP zorgt ervoor dat elk wachtwoord uniek is en geldig tot het is gebruikt, omdat de teller wordt verhoogd na elke succesvolle authenticatie.
• De gedeelde geheime sleutel wordt nooit over het netwerk verzonden, waardoor het risico op onderschepping wordt verminderd.
• De tellerwaarde is gesynchroniseerd tussen de server en de client om herhalingsaanvallen te voorkomen.

Gebruiksscenario's:

HOTP wordt vaak gebruikt in hardwaretokens en legacy-systemen waar tijdsbeperkingen moeilijk te implementeren zijn. Voor moderne toepassingen is TOTP populairder vanwege zijn tijdgebonden aard en gemakkelijke implementatie.

Tijdgebaseerde OTP (TOTP)#

Tijdgebaseerde OTP, gedefinieerd in RFC 6238, is een algoritme dat een reeks eenmalige codes genereert op basis van de huidige tijd en een gedeelde geheime sleutel. TOTP is een meer geavanceerde uitbreiding van HOTP die gebruikmaakt van een tijdstempel in plaats van een tellerwaarde om OTP's te genereren. Het geeft een tijdgebonden geldigheid aan de OTP's, waardoor ze veiliger zijn dan HOTP.

Hoe het werkt:

1. Geheim: Net als HOTP vereist TOTP een gedeelde geheime sleutel tussen de server en de client.

2. Tijdsinterval: Het belangrijkste verschil tussen HOTP en TOTP is dat TOTP een tijdgebonden stapwaarde (meestal 30 seconden) gebruikt in plaats van een tellerwaarde.

3. De client berekent de HMAC-SHA1 hash van de huidige tijd gedeeld door de tijdsstap met behulp van de gedeelde geheime sleutel.

   • H(Time) = HMAC-SHA1(K, Time/TimeStep)

4. De hash-waarde wordt ingekort tot een 6- of 8-cijferige code om de OTP te genereren.

   • OTP(Time) = Truncate(H(Time))mod 10^d

5. Dynamische OTP: Aangezien de OTP-generatie tijdgebonden is, verandert de OTP elke 30 seconden, wat een hoger beveiligingsniveau biedt.

6. De server verifieert de binnenkomende OTP door de hash-waarde te berekenen met de huidige tijd en geheime sleutel. Zolang de OTP binnen het geldige tijdsvenster is, accepteert de server de authenticatie.

Beveiligingsmaatregelen:

• De afhankelijkheid van tijdsynchronisatie zorgt ervoor dat een OTP slechts kort geldig is, waardoor het risico op onderschepping of hergebruik wordt verminderd.
• De tijdgebonden aard van TOTP maakt het veiliger dan HOTP, omdat het minder vatbaar is voor herhalingsaanvallen. Zelfs als een aanvaller een eerder gebruikte OTP bemachtigt, wordt deze ongeldig zodra het tijdsvenster verloopt.
• Net als HOTP wordt de gedeelde geheime sleutel nooit over het netwerk verzonden, waardoor het risico op onderschepping wordt verminderd.

Gebruiksscenario's:

TOTP wordt veel gebruikt in op software gebaseerde authenticator-apps zoals Google Authenticator, Authy en Microsoft Authenticator. Deze apps genereren tijdgebaseerde OTP's voor gebruikers om zichzelf te authenticeren bij verschillende online diensten, waaronder sociale mediaplatforms, cloud-diensten en financiële instellingen.

TOTP authenticator-apps zijn de meest populaire vorm van OTP voor MFA geworden, omdat ze een balans bieden tussen beveiliging en bruikbaarheid. Gebruikers kunnen OTP's genereren op hun mobiele apparaten zonder afhankelijk te zijn van SMS- of e-mailbezorging, waardoor het een veiligere en handige methode van authenticatie is.

Voordelen van OTP#

1. Verbeterde beveiliging

   • OTP's verminderen de risico's die gepaard gaan met gestolen of gecompromitteerde wachtwoorden.
   • OTP's zijn tijdgebonden en verlopen snel, waardoor de kans voor aanvallers om ze te onderscheppen en opnieuw te gebruiken, wordt verkleind.
   • De eenmalige aard maakt ze veiliger dan statische wachtwoorden, omdat elke OTP uniek is en niet opnieuw kan worden gebruikt.

2. Eenvoudig in gebruik

   • OTP's zijn eenvoudig te genereren en te gebruiken, waarbij minimale interactie van de gebruiker vereist is.
   • Breed ondersteund door verschillende platforms en diensten, zoals TOTP, met minimale installatie en de mogelijkheid om een breed scala aan bestaande authenticator-apps te gebruiken.

3. Flexibiliteit

   • OTP's kunnen via meerdere kanalen worden geleverd, waaronder SMS, e-mail en authenticator-apps, waardoor gebruikers de flexibiliteit hebben om hun voorkeursmethode te kiezen.

4. Naleving van regelgeving

   • OTP's voldoen aan industriestandaarden en regelgeving, zoals PCI DSS, GDPR en HIPAA, die sterke authenticatiemechanismen vereisen om gevoelige gegevens te beschermen.

Waarom heeft OTP de voorkeur boven statische wachtwoorden?#

OTP is een veilige en handige methode van authenticatie die een essentieel hulpmiddel is geworden in moderne beveiligingspraktijken. Door een unieke, tijdgebonden code voor elke authenticatiesessie te bieden, bieden OTP's een hoger beveiligingsniveau dan traditionele statische wachtwoorden. Of ze nu worden geleverd via SMS, e-mail of authenticator-apps, OTP's worden veel gebruikt in verschillende toepassingen om gevoelige gegevens te beschermen en toegang te beveiligen tot online diensten. Naarmate het dreigingslandschap evolueert, blijven OTP's een cruciale rol spelen in het beveiligen van gebruikersaccounts en het voorkomen van ongeautoriseerde toegang tot persoonlijke en bedrijfsinformatie.