سه شنبه , ۲۷ اردیبهشت ۱۴۰۱
کمپین برکت اکسکوینو
رمز یکبار مصرف OTP

رمز عبور یکبار مصرف (OTP) چیست؟ + راهنمای راه‌اندازی OTP در اکسکوینو

رمز عبور یکبار مصرف (OTP) چیست؟

رمز عبور یکبار مصرف (OTP) یک رشته عددی، الفبایی یا ترکیبی از کاراکترها است که به صورت خودکار تولید می‌شود تا هویت یک کاربر برای ورود یا تایید یک تراکنش تایید شود.

رمز یکبار مصرف به مراتب از رمزهای عبوری که کاربران ایجاد می‌کنند، قوی‌تر است چرا که به صورت خودکار و ماشینی تولید می‌شود و فقط در یک زمان خاص قابل استفاده است. در رمز عبور ثابتی که کاربران ایجاد می‌کنند ممکن است از ترکیب تکراری یا قابل حدسی استفاده شود که باعث کاهش امنیت حساب خواهد شد.

یکبار مصرف

OTPرمزهای یکبار مصرف ممکن است به عنوان جایگزینی برای اطلاعات ورود به سیستم استفاده شوند یا در مراتب بالاتر به عنوان یک لایه امنیتی دیگر استفاده می‌شوند.

نحوه استفاده از رمز یکبار مصرف

هنگامی که یک کاربر احراز هویت نشده سعی می‌کند به یک سیستم دسترسی پیدا کند یا تراکنشی را روی یک دستگاه انجام دهد، یک عامل احراز هویت در سرور شبکه با استفاده از الگوریتم‌های رمز عبور یک بار مصرف، یک عدد یا کد مشترک ایجاد می‌کند. همان عدد و الگوریتم توسط رمز امنیتی روی کارت هوشمند یا دستگاه برای تطبیق و اعتبارسنجی رمز عبور یکبار مصرف و کاربر استفاده می‌شود.

نرم‌افزارهای تلفن‌های هوشمند مانند برنامه گوگل آوتنتیکیتور  Google Authenticator، برای ایجاد رمز عبور یکبار مصرف و تایید دو مرحله‌ای استفاده می‌شوند. پس از همگام سازی حساب کاربری با این برنامه یک رمز یکبار مصرف با انقضای ۳۰ ثانیه ایجاد خواهد شد که ورود به حساب را با یک لایه امنیتی بیشتر امکان پذیر می‌کند.

اوتنتیکیتور

توکن‌های امنیتی پیامکی نیز به عنوان روشی دیگر برای دسترسی به رمز عبور یکبار مصرف استفاده می‌شوند. پس از فعال‌سازی این حالت بعد از هر بار ورود یا شروع انجام تراکنش از طرف ارائه دهنده آن خدمت برای شما یک پیامک حاوی یک کد ارسال می‌شود که معمولا به مدت ۲ دقیق اعتبار دارد.

نحوه کارکرد رمز یکبار مصرف

در روش‌های احراز هویت مبتنی بر رمزعبور یکبار مصرف، برنامه OTP کاربر و سرور احراز هویت بر اعتبار سنجی بر روی یک کد شخصی تصادفی متکی هستند.

مقادیر این کد با استفاده از الگوریتم کد احراز هویت پیام هش شده (HMAC) و یک عامل متحرک، مانند اطلاعات مبتنی بر زمان (TOTP) یا شمارنده رویداد (HOTP) تولید می‌شود.

مقادیر کد تولیدی OTP به همراه یک مهر زمانی برای امنیت بیشتر ایجاد می‌شوند تا بعد از تمام شدن تایمر آن کد منقضی شود. رمز عبور یکبار مصرف را می‌توان از طریق روش‌های مختلفی به کاربر تحویل داد که دو نوع آن در بالا توضیح داده شد.

انواع OTP

امروزه رمزهای عبور یکبار مصرف پویا بسیار رواج یافته‌اند. همانطور که گفته شد دست یافتن به این کد روش‌ّای متفاوتی دارد اما به طور کلی خود این کد تصادفی نیز سه مدل مختلف دارد.

  • مبتنی بر زمان
  • مبتنی بر رویداد
  • مبتنی بر چالش-پاسخ

مبتنی بر زمان

با این روش، رمز امنیتی و سرور با استفاده از یک الگوریتم یکسان رمزهای عبور همگامی را ایجاد می‌کنند. این نوع رمز عبور یکبار مصرف برای یک بازه زمانی دقیق تعریف شده و معمولا بین ۱ تا ۱۵ دقیقه معتبر است.

مبتنی بر رویداد

رمزهای عبور یکبار مصرف مبتنی بر رویداد با انجام یک عمل خاص، به عنوان مثال با فشار دادن یک دکمه تولید می‌شوند. همانند روش مبتنی بر زمان این کد نیز از همان الگوریتم در سمت سرور و سمت کاربر استفاده می‌شود. رمز عبور جدید بر اساس رمز عبور قبلی محاسبه می‌شود تا توسط سرور تایید شود.

مبتنی بر چالش-پاسخ

در این روش سرور یک درخواست خاص مشخص می‌کند که مشتری باید به آن پاسخ دهد (چالش و پاسخ). مشتری مقدار مشخصی را از سرور دریافت می‌کند و از آن برای محاسبه رمز عبور یک بار مصرف استفاده می‌کند. از آنجایی که سرور الگوریتم و مقدار مشخص شده را می‌داند، می‌تواند رمز عبور تولید شده را بررسی کند.

چه زمانی استفاده از رمزهای عبور یکبار مصرف منطقی است؟

استفاده از گذرواژه‌های یکبار مصرف برای همه سرویس‌های آنلاین و وب سایت‌هایی که داده‌های بسیار حساس و مهم را در بر می‌گیرند، توصیه می‌شود. برای مثال:

  • خدمات بانکداری آنلاین
  • خدمات مالی مانند صرافی‌های ارز دیجیتال
  • داده‌های حساس شرکتی
  • کانال های ارتباطی محرمانه

شما برای هر سایت به رمز عبور یک بار مصرف نیازی ندارید. با این حال اگر شما از یک رمز عبور بسیار قوی هم استفاده می‌کنید نباید از یک رمز عبور یکسان در چند جا استفاده کنید چرا که امنیت همه حساب‌های شما به خطر می‌افتد.

مزایا و معایب رمزهای یکبار مصرف

حالا که با اهمیت و مفهوم رمز یکبار مصرف آشنا شدید بد نیست به مزایا و معایب این سطح امنیتی بپردازیم.

مزایا

  • مقاوم بودن در برابر حملات بازپخش Replay Attack
  • استفاده راحت
  • در امان ماندن حساب پشتیبان
  • حفاظت از اطلاعات در زمان به خطر افتادن رمز عبور مستقل
  • حدس دشوار

معایب

  • عدم همگام‌سازی با سرور
  • قفل شدن حساب در صورت ورود مقدار غیرمجاز به دفعات زیاد
  • سخت بودن راه‌اندازی OTP برای ارائه دهنده سرویس

رمز عبور یکبار مصرف یا احراز هویت دو عاملی در اکسکوینو

در اکسکوینو نیز برای افزایش لایه‌های امنیتی حساب شما تمهیدات ویژه‌ای در نظر گرفته شده است و همچنین قابلیت رمزعبور یکبار مصرف یا احراز هویت دو عاملی وجود دارد.

در ادامه می‌توانید به صورت تصویری مراحل فعال‌سازی رمز عبور یکبار مصرف خود را ببینید.

بعد از اینکه وارد حساب کاربری خود در اکسکوینو شدید مثل تصویر بالای صفحه بر روی علامت پروفایل کلیک کنید و وارد بخش امنیت شوید.

1

اولین گزینه این صفحه بخش احراز هویت دو عاملی است. پس از ورود به این بخش می‌توانید برای افزایش امنیت حساب‌تان یکی از دو حالت احراز هویت با گوگل یا احراز هویت با پیامک را فعال کنید.

احراز هویت با پیامک SMS OTP

بعد از انتخاب گرینه احراز هویت با پیامک وارد صفحه جدیدی می‌شوید که در آن بخش باید کدی ارسالی به شماره موبایلتان را به همراه رمزعبور خود وارد کنید. اگه هر دو مقدار درست باشند با زدن دکمه تایید رمز یکبار مصرف پیامکی برای حساب شما فعال می‌شود. از این پس هر زمانی که وارد حساب خود می‌شوید بعد از وارد کردن رمز عبور، یک پیامک برای شما ارسال می‌گردد که باید کد داخل آن را در صفحه جدید وارد کنید.

خب حالا اگه بخواهید این حالت را غیر فعال کنید، دوباره به همین بخش مراجعه کنید و تیک گزینه احراز هویت با پیامک را بردارید. بعد از وارد کردن رمز عبور حسابتان این حالت امنیتی غیرفعال می‌شود.

احراز هویت با گوگل Google Authenticator

در این بخش حالت سخت‌تر و امن‌تر احراز هویت دوعاملی یا همون رمز یکبار مصرف به واسطه گوگل اوتنتیکیتور را آموزش خواهیم داد. بسیاری از کاربران بعد از فعالسازی این حالت با مشکلات زیادی رو به رو شدند. اگر شما هم جز همین کاربران هستید ادامه این بخش برای شما بسیار مفید است.

مانند حالت قبل وارد بخش احراز هویت دو عاملی شوید و گزینه احراز هویت با گوگل را انتخاب کنید.

برای استفاده از امکانات این بخش حتما باید برنامه گوگل اوتنتیکیتور را از گوگل پلی دانلود کنید. در مرحله بعد، کد بازیابی را که اکسکوینو در اختیارتان قرار می‌دهد در جایی امن ذخیره کنید.

6

شما با این کد می‌توانید رمز یکبار مصرف اکسکوینو در برنامه گوگل اوتنتیکیتور را فعال کنید و اگر زمانی این برنامه از روی گوشی شما پاک شود یا به آن دسترسی نداشته باشید دوباره امکان بازیابی این رمز یکبار مصرف را خواهید داشت.

پس از نصب برنامه وارد برنامه گوگل اوتنتیکیتور بشوید و مثل ویدیو گزینه Enter a setup key  را انتخاب کنید. در قسمت بالایی می‌توانید یک اسم دلخواه برای رمز یکبار مصرف خود انتخاب کنید تا بعدا متوجه شوید که این رمز یکبار مصرف متعلق به چه حسابی است.

در قسمت پایین نیز عبارت ۱۶ کارکتری که اکسکوینو داده است را وارد کنید. کدی که در برنامه برای شما نشان داده می‌شود را با رمز عبور خود در صفحه جدید برنامه اکسکوینو بزنید تا به صورت کامل رمز یکبار مصرف گوگل براش شما فعال شود.

7

از این به بعد برای ورود به اکسکوینو به رمزیکبار مصرف گوگل نیاز دارید که باید وارد برنامه گوگل اوتنتیکیتور شوید و کدی را که در آن‌جا نمایش داده می‌شود مانند تصویر وارد کنید.

8

خب اگر بخواهید این ویژگی امنیتی را غیرفعال کنید مثل مرحله قبل روی گزینه احراز هویت با گوگل کلیک کنید و پس از تایید رمز عبور خود، این گزینه امنیتی برای شما غیر فعال خواهد شد.

نکته مهمی که باید در نظر بگیرید این است که اگر به برنامه گوگل اوتنتیکیتور دسترسی نداشته باشید نمی‌توانید وارد حساب کاربری خود شوید.

اگه برنامه از روی گوشی موبایل شما پاک شد نیز می‌توانید مانند قبل عبارت بازیابی ۱۶ کارکتری را که اکسکوینو در اختیار شما قرار داده بود، وارد کنید تا دوباره رمز شما فعال شود.

خب همونطور که در ابتدا این مقاله آماده تیم اکسکوینو غیرفعال کردن این دو گزینه را اصلا پیشنهاد نمی‌کند چرا که حساب شما در خطر قرار می‌دهد.

در ویدیو زیر می‌توانید همه این مراحل را مشاهده کنید:

سخن‌نهایی

اگر کاربرد، مزایا و معایب رمزهای یکبار مصرف ها را در نظر بگیرید، هر کاربر می‌تواند با استفاده از یک رمز عبور منحصر به فرد برای هر نشست، امنیت حساب خود را افزایش دهد که کاری غیر منطقی به نظر می‌آید. اینجاست که مزایای رمز عبور یکبار مصرف به چشم می‌آید. تا زمانی که ارائه‌دهنده سرویس از همگام‌سازی مبتنی بر زمان استفاده کند و شما به تلفن همراه خود دسترسی داشته باشید، می‌توانید با استفاده از یک OTP از جعل اطلاعات اعتبار حساب توسط عوامل خارجی تهدید کننده جلوگیری کنید.

پس فراموش نکنید فعال کردن رمز عبور یکبار مصرف یا همان احراز هویت دو عاملی در اکسکوینو دارایی‌های شما را در برابر افراد سودجو و هکرها ایمن نگه می‌دارد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

*

code