وبلاگ اکسکوینو
رمز عبور یکبار مصرف (OTP) چیست؟
رمز عبور یکبار مصرف (OTP) یک رشته عددی، الفبایی یا ترکیبی از کاراکترها است که به صورت خودکار تولید میشود تا هویت یک کاربر برای ورود یا تایید یک تراکنش تایید شود.
رمز یکبار مصرف به مراتب از رمزهای عبوری که کاربران ایجاد میکنند، قویتر است چرا که به صورت خودکار و ماشینی تولید میشود و فقط در یک زمان خاص قابل استفاده است. در رمز عبور ثابتی که کاربران ایجاد میکنند ممکن است از ترکیب تکراری یا قابل حدسی استفاده شود که باعث کاهش امنیت حساب خواهد شد.
OTPرمزهای یکبار مصرف ممکن است به عنوان جایگزینی برای اطلاعات ورود به سیستم استفاده شوند یا در مراتب بالاتر به عنوان یک لایه امنیتی دیگر استفاده میشوند.
نحوه استفاده از رمز یکبار مصرف
هنگامی که یک کاربر احراز هویت نشده سعی میکند به یک سیستم دسترسی پیدا کند یا تراکنشی را روی یک دستگاه انجام دهد، یک عامل احراز هویت در سرور شبکه با استفاده از الگوریتمهای رمز عبور یک بار مصرف، یک عدد یا کد مشترک ایجاد میکند. همان عدد و الگوریتم توسط رمز امنیتی روی کارت هوشمند یا دستگاه برای تطبیق و اعتبارسنجی رمز عبور یکبار مصرف و کاربر استفاده میشود.
نرمافزارهای تلفنهای هوشمند مانند برنامه گوگل آوتنتیکیتور Google Authenticator، برای ایجاد رمز عبور یکبار مصرف و تایید دو مرحلهای استفاده میشوند. پس از همگام سازی حساب کاربری با این برنامه یک رمز یکبار مصرف با انقضای ۳۰ ثانیه ایجاد خواهد شد که ورود به حساب را با یک لایه امنیتی بیشتر امکان پذیر میکند.
توکنهای امنیتی پیامکی نیز به عنوان روشی دیگر برای دسترسی به رمز عبور یکبار مصرف استفاده میشوند. پس از فعالسازی این حالت بعد از هر بار ورود یا شروع انجام تراکنش از طرف ارائه دهنده آن خدمت برای شما یک پیامک حاوی یک کد ارسال میشود که معمولا به مدت ۲ دقیق اعتبار دارد.
نحوه کارکرد رمز یکبار مصرف
در روشهای احراز هویت مبتنی بر رمزعبور یکبار مصرف، برنامه OTP کاربر و سرور احراز هویت بر اعتبار سنجی بر روی یک کد شخصی تصادفی متکی هستند.
مقادیر این کد با استفاده از الگوریتم کد احراز هویت پیام هش شده (HMAC) و یک عامل متحرک، مانند اطلاعات مبتنی بر زمان (TOTP) یا شمارنده رویداد (HOTP) تولید میشود.
مقادیر کد تولیدی OTP به همراه یک مهر زمانی برای امنیت بیشتر ایجاد میشوند تا بعد از تمام شدن تایمر آن کد منقضی شود. رمز عبور یکبار مصرف را میتوان از طریق روشهای مختلفی به کاربر تحویل داد که دو نوع آن در بالا توضیح داده شد.
انواع OTP
امروزه رمزهای عبور یکبار مصرف پویا بسیار رواج یافتهاند. همانطور که گفته شد دست یافتن به این کد روشّای متفاوتی دارد اما به طور کلی خود این کد تصادفی نیز سه مدل مختلف دارد.
- مبتنی بر زمان
- مبتنی بر رویداد
- مبتنی بر چالش-پاسخ
مبتنی بر زمان
با این روش، رمز امنیتی و سرور با استفاده از یک الگوریتم یکسان رمزهای عبور همگامی را ایجاد میکنند. این نوع رمز عبور یکبار مصرف برای یک بازه زمانی دقیق تعریف شده و معمولا بین ۱ تا ۱۵ دقیقه معتبر است.
مبتنی بر رویداد
رمزهای عبور یکبار مصرف مبتنی بر رویداد با انجام یک عمل خاص، به عنوان مثال با فشار دادن یک دکمه تولید میشوند. همانند روش مبتنی بر زمان این کد نیز از همان الگوریتم در سمت سرور و سمت کاربر استفاده میشود. رمز عبور جدید بر اساس رمز عبور قبلی محاسبه میشود تا توسط سرور تایید شود.
مبتنی بر چالش-پاسخ
در این روش سرور یک درخواست خاص مشخص میکند که مشتری باید به آن پاسخ دهد (چالش و پاسخ). مشتری مقدار مشخصی را از سرور دریافت میکند و از آن برای محاسبه رمز عبور یک بار مصرف استفاده میکند. از آنجایی که سرور الگوریتم و مقدار مشخص شده را میداند، میتواند رمز عبور تولید شده را بررسی کند.
چه زمانی استفاده از رمزهای عبور یکبار مصرف منطقی است؟
استفاده از گذرواژههای یکبار مصرف برای همه سرویسهای آنلاین و وب سایتهایی که دادههای بسیار حساس و مهم را در بر میگیرند، توصیه میشود. برای مثال:
- خدمات بانکداری آنلاین
- خدمات مالی مانند صرافیهای ارز دیجیتال
- دادههای حساس شرکتی
- کانال های ارتباطی محرمانه
شما برای هر سایت به رمز عبور یک بار مصرف نیازی ندارید. با این حال اگر شما از یک رمز عبور بسیار قوی هم استفاده میکنید نباید از یک رمز عبور یکسان در چند جا استفاده کنید چرا که امنیت همه حسابهای شما به خطر میافتد.
مزایا و معایب رمزهای یکبار مصرف
حالا که با اهمیت و مفهوم رمز یکبار مصرف آشنا شدید بد نیست به مزایا و معایب این سطح امنیتی بپردازیم.
مزایا
- مقاوم بودن در برابر حملات بازپخش Replay Attack
- استفاده راحت
- در امان ماندن حساب پشتیبان
- حفاظت از اطلاعات در زمان به خطر افتادن رمز عبور مستقل
- حدس دشوار
معایب
- عدم همگامسازی با سرور
- قفل شدن حساب در صورت ورود مقدار غیرمجاز به دفعات زیاد
- سخت بودن راهاندازی OTP برای ارائه دهنده سرویس
رمز عبور یکبار مصرف یا احراز هویت دو عاملی در اکسکوینو
در اکسکوینو نیز برای افزایش لایههای امنیتی حساب شما تمهیدات ویژهای در نظر گرفته شده است و همچنین قابلیت رمزعبور یکبار مصرف یا احراز هویت دو عاملی وجود دارد.
در ادامه میتوانید به صورت تصویری مراحل فعالسازی رمز عبور یکبار مصرف خود را ببینید.
بعد از اینکه وارد حساب کاربری خود در اکسکوینو شدید مثل تصویر بالای صفحه بر روی علامت پروفایل کلیک کنید و وارد بخش امنیت شوید.
اولین گزینه این صفحه بخش احراز هویت دو عاملی است. پس از ورود به این بخش میتوانید برای افزایش امنیت حسابتان یکی از دو حالت احراز هویت با گوگل یا احراز هویت با پیامک را فعال کنید.
احراز هویت با پیامک SMS OTP
بعد از انتخاب گرینه احراز هویت با پیامک وارد صفحه جدیدی میشوید که در آن بخش باید کدی ارسالی به شماره موبایلتان را به همراه رمزعبور خود وارد کنید. اگه هر دو مقدار درست باشند با زدن دکمه تایید رمز یکبار مصرف پیامکی برای حساب شما فعال میشود. از این پس هر زمانی که وارد حساب خود میشوید بعد از وارد کردن رمز عبور، یک پیامک برای شما ارسال میگردد که باید کد داخل آن را در صفحه جدید وارد کنید.
خب حالا اگه بخواهید این حالت را غیر فعال کنید، دوباره به همین بخش مراجعه کنید و تیک گزینه احراز هویت با پیامک را بردارید. بعد از وارد کردن رمز عبور حسابتان این حالت امنیتی غیرفعال میشود.
احراز هویت با گوگل Google Authenticator
در این بخش حالت سختتر و امنتر احراز هویت دوعاملی یا همون رمز یکبار مصرف به واسطه گوگل اوتنتیکیتور را آموزش خواهیم داد. بسیاری از کاربران بعد از فعالسازی این حالت با مشکلات زیادی رو به رو شدند. اگر شما هم جز همین کاربران هستید ادامه این بخش برای شما بسیار مفید است.
مانند حالت قبل وارد بخش احراز هویت دو عاملی شوید و گزینه احراز هویت با گوگل را انتخاب کنید.
برای استفاده از امکانات این بخش حتما باید برنامه گوگل اوتنتیکیتور را از گوگل پلی دانلود کنید. در مرحله بعد، کد بازیابی را که اکسکوینو در اختیارتان قرار میدهد در جایی امن ذخیره کنید.
شما با این کد میتوانید رمز یکبار مصرف اکسکوینو در برنامه گوگل اوتنتیکیتور را فعال کنید و اگر زمانی این برنامه از روی گوشی شما پاک شود یا به آن دسترسی نداشته باشید دوباره امکان بازیابی این رمز یکبار مصرف را خواهید داشت.
پس از نصب برنامه وارد برنامه گوگل اوتنتیکیتور بشوید و مثل ویدیو گزینه Enter a setup key را انتخاب کنید. در قسمت بالایی میتوانید یک اسم دلخواه برای رمز یکبار مصرف خود انتخاب کنید تا بعدا متوجه شوید که این رمز یکبار مصرف متعلق به چه حسابی است.
در قسمت پایین نیز عبارت ۱۶ کارکتری که اکسکوینو داده است را وارد کنید. کدی که در برنامه برای شما نشان داده میشود را با رمز عبور خود در صفحه جدید برنامه اکسکوینو بزنید تا به صورت کامل رمز یکبار مصرف گوگل براش شما فعال شود.
از این به بعد برای ورود به اکسکوینو به رمزیکبار مصرف گوگل نیاز دارید که باید وارد برنامه گوگل اوتنتیکیتور شوید و کدی را که در آنجا نمایش داده میشود مانند تصویر وارد کنید.
خب اگر بخواهید این ویژگی امنیتی را غیرفعال کنید مثل مرحله قبل روی گزینه احراز هویت با گوگل کلیک کنید و پس از تایید رمز عبور خود، این گزینه امنیتی برای شما غیر فعال خواهد شد.
نکته مهمی که باید در نظر بگیرید این است که اگر به برنامه گوگل اوتنتیکیتور دسترسی نداشته باشید نمیتوانید وارد حساب کاربری خود شوید.
اگه برنامه از روی گوشی موبایل شما پاک شد نیز میتوانید مانند قبل عبارت بازیابی ۱۶ کارکتری را که اکسکوینو در اختیار شما قرار داده بود، وارد کنید تا دوباره رمز شما فعال شود.
خب همونطور که در ابتدا این مقاله آماده تیم اکسکوینو غیرفعال کردن این دو گزینه را اصلا پیشنهاد نمیکند چرا که حساب شما در خطر قرار میدهد.
در ویدیو زیر میتوانید همه این مراحل را مشاهده کنید:
سخننهایی
اگر کاربرد، مزایا و معایب رمزهای یکبار مصرف ها را در نظر بگیرید، هر کاربر میتواند با استفاده از یک رمز عبور منحصر به فرد برای هر نشست، امنیت حساب خود را افزایش دهد که کاری غیر منطقی به نظر میآید. اینجاست که مزایای رمز عبور یکبار مصرف به چشم میآید. تا زمانی که ارائهدهنده سرویس از همگامسازی مبتنی بر زمان استفاده کند و شما به تلفن همراه خود دسترسی داشته باشید، میتوانید با استفاده از یک OTP از جعل اطلاعات اعتبار حساب توسط عوامل خارجی تهدید کننده جلوگیری کنید.
پس فراموش نکنید فعال کردن رمز عبور یکبار مصرف یا همان احراز هویت دو عاملی در اکسکوینو داراییهای شما را در برابر افراد سودجو و هکرها ایمن نگه میدارد.
