رمزهای یکبارمصرف OTP سلطان امنیت
پیشرفت فناوری و قابلیتهای بسیار زیادی که تلفنهای همراه هوشمند در اختیار کاربران قرار دادهاند، باعث شده است که در کنار راحتی و کاربردی بودن برخی برنامهها و ابزارها، امنیت کاربران نیز کمی به خطر بیفتد. نمونه آن در برنامههایی نمایان است که اطلاعات بانکی و کیفپولهای الکترونیکی در گوشیهای هوشمند ذخیره میشوند و برخی از هکرها با ارسال ایمیل، یا پیامکهایی میتوانند به آن اطلاعات دسترسی پیدا کنند. از این رو سیستمهای امنیتی برای بالا بردن امنیت کاربران، رمزهای یکبار مصرف یا همان OPT را معرفی کردند. روش کار این رمزهای یکبار مصرف از طریق ارسال پیامک به شماره مخاطبان و مد نظر قرار دادند تنها یک مرتبه استفاده از آن و همچنین محدودیت در زمان، باعث شد تا امنیت کاربران در استفاده از برخی نرمافزارها با احراز هویت آنان هم زمان شده و امکان دسترسی هکرها به این رمزها بسیار محدود شود.
سلطان امنیت چه کاربردی دارد و چگونه کار میکند؟
روش کاربردی این رمزهای یکبار مصرف به این صورت است که برنامه OTP مربوط به هر کاربر و سرور نرمافزار مورد استفاده یا همان سیستم احراز هویت اتوماتیک، به یک اطلاعات مشترک دسترسی دارند. به این صورت که مقادیر شامل، حروف الفبا و اعداد، برای رمزهای عبور یکبار مصرف با استفاده از الگوریتمهای خاص تولید میشوند و هر کد احراز هویت که در اصطلاح به آن HMAC نیز گفته میشود و یک عامل تحریک کننده به طور مثال، اطلاعات مبتنی بر زمان تراکنش TOTP یا شمارنده تعداد تراکنشها از سوی کاربر HOTP ساخته میشوند. مقادیر رمزهاییکبار مصرف برای امنیت بیشتر دارای یک مهلت زمانی محدود هستند و کاربران در صورت دریافت آن تنها در مدت زمان معلوم شده میتوانند برای همان تراکنش از رمز یکبار مصرف دریافتی استفاده کنند.
رمزهای یکبار مصرف به صورتهای مختلفی ساخته میشوند و با توجه به، راحتی کاربران، سختافزار، خدمات ارائه دهنده و هزینهی تولید، دارای تفاوتهایی هستند.
- تولید و ساخت رمزهای یکبار مصرف با استفاده از کارتهای شبکه
در این روش، تولید رمزهای یکبار مصرف که به آن استفاده از کارتهای شبکه یا شماره تراکنش گفته میشود، از کاربران خواسته میشود تا به برنامههایی که لیست رمزها در آن قرار دارند مراجعه کنند. این روش دارای معایبی است مثل: تکرار و اشتراک گذاری آسان و همچنین نگهداری از کلیه رمزهای یکبار مصرف در یکجا بسیار دشوار است. این روش بسیار کند بوده ولی هزینه راهاندازی آن کم و مقرون به صرفه است.
- تولید و ساخت رمزهای یکبار مصرف با استفاده از توکنهای امنیتی
استفاده از دستگاه سختافزاری، برای کاربران نیز راحتتر است. برخی از این دستگاههای ساخت رمزیکبار مصرف با «پین» از آنها محافظت میشود که امنیت بالایی دارد روش کار به این صورت است که کاربران، نام کاربری و رمز عبور خود را وارد دستگاه و از آن درخواست کد احراز هویت میکنند و توکنها از همان روش سرور نرمافزاری استفاده میکنند چراکه برای ایجاد یک رمز یکبار مصرف جدید به یک توکن جدید هم نیاز است. این روش نیز دارای هزینهی قابل توجهی است چرا که استقرار دستگاهها در سازمانها و مراکز مالی و بانکی میتواند هزینهی نصب، نگهداری و پشتیبانی زیادی به همراه داشته باشد.
- تولید و ساخت رمزهای یکبار مصرف با استفاده از کارتهای هوشمند
در این روش از کارتهای هوشمند استفاده میشود که از ریزپردازندهها در جهت تولید رمزهای یکبار مصرف استفاده میشود و نسبت به سایر روشهای مزیتهایی نظیر، قدرت پردازش اطلاعات بالا، قابل حمل بودن، سهولت در استفاده و همچنین ظرفیت بالای ذخیرهسازی دادهها را دارد، از لحاظ ساختاری و الگوریتم عملکرد، از سایر توکنهای ساخت رمزهای یکبار مصرف، بسیار ایمنتر است. زیرا در هر عملیات ایجاد تراکنش و احراز هویت کاربر، یک رمز جدید و غیر قابل استفاده مجدد ساخته و اطلاعات و دادههای خصوصی مربوط به کاربر را ذخیره و هرگز از طریق شبکه منتقل نمیکند. همچنین برای احراز هویت از زیرساخت کلید عمومی یا همان PKI استفاده میشود. در بیشتر برنامههای کاربردی از کلیدهای عمومی PKI استفاده می شود زیرا دستگاه کارت هوشمند میتواند خدمات اصلی این کلیدها شامل: رمزگذاری، امضای دیجیتال و تولید و ذخیره سازی کلید خصوصی را ارائه کنند.
لازم به ذکز است که مرحله احراز هویت کاربران و تولید رمزهای یکبار مصرف از دو روش: تک مرحلهای و دو مرحله امکانپذیر خواهد بود.
کاربرد وب سرویس و سلطان امنیت با یکدیگر چگونه است؟
پیش از این گفته شد که روش کار رمزهای یکبار مصرف به این صورت است که برنامه OTP مربوط به هر کاربر و سرور نرمافزار مورد استفاده یا همان سیستم احراز هویت اتوماتیک، به یک اطلاعات مشترک دسترسی دارند. که این امر از طریق کاربرد وب سرویس امکان پذیر است.
وبسرویسها این قابلیت را دارند تا هر دستوری را از هم ماشینی با هر زبان برنامه نویسی خوانده و پاسخ دهند که این امر باعث میشود، قابلیت اتصال به اپلیکیشنهای مختلف را داشته باشند و در واقع وبسرویس میتواند زبان بین دو اپلیکیشن را خوانده و بین آنها ارتباط ایجاد کند. این امر باعث میشود تا امکان اعتبار سنجی مخاطبان از طریق وب سرویسها با سایت پذیرنده ممکن شده و کاربران به راحتی میتواند اصالت خود را تایید کنند.
همچنین وب سرویس این امکان را میدهد تا هر سایت بتواند میزان فعالیت هر یک از کاربران خود را روی سایت کنترل کرده و در زمانهای لازم برای آنان امکان ارسال اس ام اس تکی نیز وجود دارد.
قابلیت زمانبندی پیامکهای خاص نیز از دیگر کاربردهای وب سرویس در تولید و ساخت رمزهای یکبار مصرف است.
در موضوع وب سرویس می توان اشاره کرد که این سیستم برای اهمیت ارسال کد فعالسازی سریع در ارسال رمز یکبار مصرف نیز کاملا مشهود است. در این موضوع هم مدیریت راحتی مدیریت کدهای ارسالی را می توان مهمترین مزیت وب سرویس در جابه جایی رمز یکبار مصرف عنوان کرد.
مزایای استفاده از سلطان امنیت چیست؟
از مهمترین مزایای استفاده از رمزهای یکبار مصرف، امنیت بالا برای کاربران در مقابل حملات سایبری و هکرها است.
مدیران فناوری اطلاعات همچنین دیگر نگران، رمزهای با امنیت پایین و کلمات تکراری و متداول که توسط کاربران انتخاب به عنوان رمز دوم انتخاب میشوند، نخواهند بود و
رمزهای یکبار مصرف یا همان OTP به هیج وجه تکراری تولید نمیشوند و در عرض چند ثانیه، منقضی شده و امکان استفاده مجدد کاربران در دیگر تراکنشها امکان پذیر نخواهد بود.
کلام پایانی
برخی از افراد برای جلوگیری از خطرات احتمالی، استفاده از رمزهای دوم و برخی از اپلیکیشنهای خاص را محدود کردهاند، چرا که هکرها توانستهاند به راحتی گوشیهای تلفن همراه مشترکین را هک کرده و به اطلاعات بانکی و هویتی آنان دست پیدا کنند. از این رو استفاده از رمزهای یکبار مصرف OPT این امکان را در اختیار کاربران گذاشته است تا با خیال راحت، از آن استفاده کنند. این رمزهای یکبار مصرف تنها در یک تراکنش و در یک مدت زمان مشخص قابل استفاده هستند.