Vad är engångslösenord (OTP)?

OTP står för engångslösenord, även känt som en engångskod eller dynamiskt lösenord. Det är ett unikt, automatiskt genererat tillfälligt lösenord som används för en enda autentiseringssession eller transaktion.

Till skillnad från traditionella statiska lösenord ändras OTP varje gång de används och upphör att gälla efter en kort tidsperiod. Detta gör dem till en mycket säker autentiseringsmetod, eftersom de är mycket svårare för angripare att stjäla och återanvända.

OTPs används allmänt i olika säkerhetstillämpningar, inklusive onlinebanking, e-handel och för att skydda åtkomst till känsliga data eller system. De används också ofta som en andra faktor i multifaktorautentisering (MFA) för att ge ytterligare säkerhetslager. Genom att kombinera något användaren vet (t.ex. ett lösenord) med något de har (t.ex. en mobil enhet) har OTPs blivit ett viktigt verktyg i moderna autentiseringssystem.

Hur fungerar OTP?#

Det finns flera typer av OTPs, var och en genererad och levererad på olika sätt för olika användningsfall. Några vanliga metoder för OTPs inkluderar:

SMS OTP / E-post OTP#

SMS OTP eller E-post OTP är en av de enklaste formerna av OTPs, där en unik kod genereras av en server och säkert levereras till användaren via SMS eller e-post. Användaren anger sedan denna kod för att autentisera sig själv.

Hur det fungerar:

• Användaren begär en OTP från servern.
• Servern genererar en slumpmässig numerisk eller alfanumerisk kod och skickar den till användaren via SMS eller e-post.
• Användaren hämtar OTP från sin SMS- eller e-postinkorg och anger den i applikationen.
• Servern verifierar koden mot sina poster och ger åtkomst om koden är giltig.

Säkerhetsåtgärder:

• OTP är endast giltig under en kort tidsperiod (t.ex. 5 minuter) för att minimera risken för avlyssning och replay-attacker.
• SMS-leveranskanalen förlitar sig på mobilnät, vilket gör den sårbar för avlyssning via SIM-swap-attacker eller andra sårbarheter i telekominfrastrukturen.
• OTPs via e-post är endast så säkra som användarens e-postkonto. Om e-postkontot är komprometterat kan OTP avlyssnas.

Användningsfall:

SMS och E-post OTPs används ofta i konsumentinriktade applikationer, såsom onlinebanking, e-handel och sociala medieplattformar. De är inte bara säkrare än statiska lösenord, de ger också ett bekvämt sätt för användare att autentisera sig själva utan att memorera komplexa lösenord och säkerhetsfrågor.

Med tanke på att de flesta användare har konstant tillgång till en mobiltelefon eller ett e-postkonto har SMS och E-post OTPs blivit ett föredraget val för användarautentisering, verifiering av e-postadress eller telefonnummerägande och återställning av lösenord.

HMAC-baserad OTP (HOTP)#

HMAC-baserad OTP, definierad i RFC 4226, är en tidsynkroniserad OTP-algoritm som genererar en sekvens av engångskoder baserat på en hemlig nyckel och en räknarvärde. Varje OTP härleds genom att hasha den hemliga nyckeln och räknarvärdet med en kryptografisk hashfunktion (t.ex. SHA-1, SHA-256).

Hur det fungerar:

1. Hemlighet: HOTP kräver en delad hemlig nyckel mellan servern och klienten.

2. Räknare: Servern och klienten underhåller ett räknarvärde som ökar med varje OTP-generering.

3. Klienten beräknar HMAC-SHA1 (eller andra hashfunktioner) hash av räknarvärdet (C) med hjälp av den delade hemliga nyckeln (K).

   • H = HMAC-SHA1(K, C)

4. Hashvärdet trunkeras till en 6 eller 8-siffrig kod (beroende på implementeringen) för att generera OTP.

   • OTP = Trunkera(H)mod 10^d

5. Servern håller koll på räknarvärdet och verifierar den inkommande OTP genom att beräkna hashvärdet med samma räknarvärde och hemlig nyckel. (Om det finns en liten mismatch kan servern tillåta ett litet fönster av räknarvärden, t.ex. en eller två ökningar, för att ta hänsyn till synkroniseringsproblem.)

Säkerhetsåtgärder:

• HOTP säkerställer att varje lösenord är unikt och giltigt tills det används, eftersom räknaren ökas efter varje lyckad autentisering.
• Den delade hemliga nyckeln överförs aldrig över nätverket, vilket minskar risken för avlyssning.
• Räknarvärdet synkroniseras mellan servern och klienten för att förhindra replay-attacker.

Användningsfall:

HOTP används vanligtvis i hårdvarutoken och äldre system där timingbegränsningar kan vara svåra att implementera. För moderna applikationer är TOTP mer populärt på grund av sin tidsbaserade natur och enkelhet att implementera.

Tidsbaserad OTP (TOTP)#

Tidsbaserad OTP, definierad i RFC 6238, är en algoritm som genererar en sekvens av engångskoder baserat på aktuell tid och en delad hemlig nyckel. TOTP är en mer avancerad förlängning av HOTP som använder ett tidsstämpel istället för ett räknarvärde för att generera OTPs. Det ger en tidsbaserad giltighet till OTPs, vilket gör dem säkrare än HOTP.

Hur det fungerar:

1. Hemlighet: Liksom HOTP kräver TOTP en delad hemlig nyckel mellan servern och klienten.

2. Tidssteg: Nyckelskillnaden mellan HOTP och TOTP är att TOTP använder ett tidsbaserat steg (vanligtvis 30 sekunder) istället för ett räknarvärde.

3. Klienten beräknar HMAC-SHA1 hash av den aktuella tiden delat med tidssteget med hjälp av den delade hemliga nyckeln.

   • H(Tid) = HMAC-SHA1(K, Tid/TidsSteg)

4. Hashvärdet trunkeras till en 6 eller 8-siffrig kod för att generera OTP.

   • OTP(Tid) = Trunkera(H(Tid))mod 10^d

5. Dynamisk OTP: Eftersom OTP-genereringen är tidsbaserad ändras OTP var 30:e sekund och ger en högre säkerhetsnivå.

6. Servern verifierar den inkommande OTP genom att beräkna hashvärdet med aktuell tid och hemlig nyckel. Så länge OTP är inom det giltiga tidsfönstret godkänner servern autentiseringen.

Säkerhetsåtgärder:

• Förlitningen på tidssynkronisering säkerställer att en OTP endast är giltig under en kort tid, vilket minskar risken för avlyssning eller återanvändning.
• Den tidsbaserade naturen hos TOTP gör den säkrare än HOTP, eftersom den är mindre mottaglig för replay-attacker. Även om en angripare får en tidigare använd OTP blir den ogiltig när tidsfönstret löper ut.
• Liksom HOTP överförs den delade hemliga nyckeln aldrig över nätverket, vilket minskar risken för avlyssning.

Användningsfall:

TOTP används i stor utsträckning i mjukvarubaserade autentiseringsappar som Google Authenticator, Authy och Microsoft Authenticator. Dessa appar genererar tidsbaserade OTPs för användare att autentisera sig mot olika onlinetjänster, inklusive sociala nätverksplattformar, molntjänster och finansiella institutioner.

TOTP-autentiseringsappar har blivit den mest populära formen av OTP för MFA, eftersom de erbjuder en balans mellan säkerhet och användbarhet. Användare kan generera OTPs på sina mobila enheter utan att förlita sig på SMS- eller e-postleverans, vilket gör det till en mer säker och bekväm autentiseringsmetod.

Fördelar med OTP#

1. Förbättrad säkerhet

   • OTPs minskar risker förenade med stulna eller komprometterade lösenord.
   • OTPs är tidkänsliga och upphör snabbt, vilket minskar fönster av möjligheter för angripare att avlyssna och återanvända dem.
   • Dess engångsnatur gör det säkrare än statiska lösenord, eftersom varje OTP är unikt och inte kan återanvändas.

2. Enkelhet att använda

   • OTPs är lätta att generera och använda, vilket kräver minimal användarinteraktion.
   • Allmänt stödd av olika plattformar och tjänster, såsom TOTP, med minimal installation och kan dra nytta av ett brett utbud av existerande autentiseringsappar.

3. Flexibilitet

   • OTPs kan levereras via flera kanaler, inklusive SMS, e-post och autentiseringsappar, vilket ger flexibilitet för användare att välja sin föredragna metod.

4. Efterlevnad av regler

   • OTPs är i överensstämmelse med industristandarder och regler, såsom PCI DSS, GDPR och HIPAA, som kräver starka autentiseringsmekanismer för att skydda känslig data.

Varför OTP föredras över statiska lösenord?#

OTP är en säker och bekväm autentiseringsmetod som har blivit ett viktigt verktyg i moderna säkerhetspraxis. Genom att tillhandahålla en unik, tidskänslig kod för varje autentiseringssession erbjuder OTPs en högre säkerhetsnivå än traditionella statiska lösenord. Oavsett om de levereras via SMS, e-post eller autentiseringsappar, används OTPs allmänt i olika tillämpningar för att skydda känslig data och säker åtkomst till onlinetjänster. När hotlandskapet utvecklas fortsätter OTPs att spela en avgörande roll i att skydda användarkonton och förhindra obehörig åtkomst till personlig och företagsinformation.