Čo je jednorázové heslo a je naozaj bezpečné?

Čo je to one-time password (OTP)?

Snažili ste sa niekedy vytvoriť heslo, ktoré bude dostatočne silné, no zároveň aj ľahko zapamätateľné? Ak áno, možno poznáte frustáciu zo snahy splniť všetky požiadavky pre silné heslo. Prihlasovanie však vôbec nemusí byť náročné.

Jednorazové heslá sú alternatívnym spôsobom prihlásenia, ktoré sú čoraz populárnejšie. Z najznámejších platforiem ich využívajú napríklad Facebook, Instagram, Twitter či Steam. Sú bezpečnejšie oproti tradičným heslám, a ešte bezpečnejšie v kombinácii s iným spôsobom verifikácie, napríklad s viacfaktorovou autorizáciou.

Ako jednorázové heslo funguje?

Na podnet používateľa sa automaticky vygeneruje unikátny kód s obmedzeným trvaním, ktorého znaky sú generované náhodne. Jednorázové heslo môže úplne nahradiť prihlasovacie heslo alebo slúžiť ako ďalšia vrstva zabezpečenia účtu. Po vložení vygenerovaného kódu bude používateľovi schválený prístup do systému.

Kódy sa odosielajú pomocou bezpečnostných tokenov vtedy, keď sa používateľ pokúsi získať prístup do systému. Najčastejšie ste sa pravdepodobne stretli s digitálnymi overovacími kľúčmi (tzv. soft tokenmi – „soft“ založených na softvéri). Môže ísť o kódy zaslané SMS, e-mailom či push upozornenia v smart zariadeniach. Tento spôsob overovania je obľúbený najmä kvôli jeho flexibilite a jednoduchému použitiu.

Spoločnosti, ktoré chcú dosiahnuť maximálnu bezpečnosť využívajú fyzické autentifikátory (tzv. hard tokeny – USB tokeny, bezkontaktné tokeny), ktoré nie sú pod rizikom kybernetických útokov. Avšak oproti soft tokenom predstavujú rôzne limitácie. Nie sú natoľko praktické, je nutné ich nosiť so sebou a dávať pozor, aby sme ich nestratili, hardvér má svoju životnosť (finančná náročnosť),…

Bezpečnosť OTP jednorázových hesiel

Súčasný stav bezpečnosti používateľských hesiel

Téma digitálnej bezpečnosti (cybersecurity) je čoraz aktuálnejšia. Po pandémii vzrástli digitálne útoky globálne o 42 %. Toto alarmujúce číslo je dôvodom, prečo by sme sa mali usilovať o zvýšenie bezpečnosti (nielen) v IT prostredí či bankovníctve.

Výskum od Google z roku 2019 odhalil, že až 65 % používateľov používajú to isté heslo naprieč rôznymi účtami, ktoré vlastnia. Medzi najpopulárnejšie heslá patria:

• 123456,
• 12345678,
• 123456789,
• Password,
• qwerty.

Viac ako polovica používateľov používa vo svojom hesle nejakú časť zo svojho dátumu narodenia, mená rodinných príslušníkov alebo domácich miláčikov. Aplikácie na správu hesiel stále nie sú bežnou praktikou, pomerne veľká časť používateľov sa spolieha pri heslách len na svoju pamäť. Jedna tretina používa viac ako 20 rôznych hesiel na prihlasovanie. Z toho dôvodu je nereálne predpokladať, že si používatelia budú vytvárať komplikované heslá ako 4G#b3jAwFe@m9!O, zároveň ich nikdy nezopakujú na dvoch rôznych platformách a všetky heslá v tomto formáte si budú pamätať.

Zaujímavé je, že až približne polovica používateľov by uvítala alternatívny spôsob prihlásenia, ak by to znamenalo zvýšenie bezpečnosti a zároveň zjednodušilo prihlasovanie sa.

OTP nie je zraniteľné voči opakovaným útokom

Väčšina e-commerce stránok, ktoré obsahujú citlivé údaje, je nedostatočne zabespečených. Na prístup k nim vyžadujú len meno a statické heslo. To otvára brány digitálnym útokom, ktorým stačí prelomiť zašifrované heslo a majú neobmedzený prístup do účtu používateľa.

Oproti statickému heslu je životnosť jednorázového hesla obmedzená (zvyčajne funkčné len niekoľko minút). Pri každom prihlásení sa generuje nové heslo – to výrazne sťažuje vstup nežiadaným „hosťom“ do účtu používateľa.

Vrstva ochrany pred hackermi

Počuli ste už o slovníkových útokoch? Patria medzi typy útokov na heslá, pri ktorých hackovací softvér háda znaky na základe najbežnejších slov (populárne heslá spomenuté aj v odstavci vyššie).

Hackeri sa zamieravajú hlavne na slabo zabezpečené účty. Majú prístup k rozsiahlym zoznamom najčastejších hesiel a pomocou nich sa snažia získanie prístupu. Všeobecne platí, čím je heslo jednoduchšie, tým menší čas potrebuje hacker na získanie prístupu do účtu. Akonáhle sa hacker dostane do účtu, dostane sa tiež k osobným informáciám jeho vlastníka. Tie môžu slúžiť ako ďalšia pomôcka na uhádnutie hesiel pre ostatné platformy a služby, ktoré využíva.

Heslá sa oslabujú s vývojom technológií, zmenšuje sa čas, ktorý softvér potrebuje na odhalenie zašifrovaného hesla. Na príklade nižšie vidíme, o koľko sa hackovanie hesiel zrýchlilo v priebehu 5 rokov.

Vďaka svojmu neustále sa meniacemu charakteru nepredstavujú slovníkové útoky pre OTP hrozbu. Odolnými ich robí náhodné generovanie znakov, ale rovnako aj veľmi krátky čas existencie jedinečného kódu.

Ako vieme OTP využiť?

Ochrana údajov pomocou dvoch faktorov prihlasovania

Ak váš e-shop/systém/služba obsahuje citlivé dáta, oplatí sa zvážiť možnosť viacfaktorovej autentifikácie (2FA), ktorej je jednorazové heslo (OTP) súčasťou.

V prípade, že by niekto chcel zneužiť vaše prihlasovacie údaje, nedostal by sa ďalej ako cez prvý faktor prihlásenia. Ako ďalší faktor by musel poskytnúť:

• Niečo, čo vie len majiteľ účtu – osobné identifikačné číslo (PIN), v prípade aplikácií napríklad vzor odblokovania.
• Niečo, čo má len majiteľ účtu – napríklad smartfón so SIM kartou.
• Iné unikátne formy odblokovania – sken prsta, rozpoznávač hlasu, sken dúhovky.

Jednorázové heslá pre nové zariadenia

Väčšinou na prihlásenie používame tie isté zariadenia – či už sú to notebooky, smartfóny, alebo tablety. Aj v prípade využitia zdieľaných účtov (ako Spotify, HBO+, Netflix...) vie systém presne priradiť dané zariadenie k jeho majiteľovi.

Ak sa v hlásení objaví zariadenie, ktoré vám nie je známe alebo také, ktorého vlastníka nepoznáte, môže to byť spôsobené tým, že niekto iný získal prístup k vašim informáciám prostredníctvom útokov alebo neautorizovaným použitím vášho hesla. V takom prípade vám automaticky bude zaslané bezpečnostné upozornenie s možnosťou jeho schválenia alebo odmietnutia.

Zabudnuté heslo

Najmä aplikácie s citlivými údajmi väčšinou vyžadujú okrem hesla ďalší dodatočný spôsob odblokovania: PIN, vzor odblokovania. Čo však v prípade, že ho zabudnete? Ako prvé vám možno napadne kontaktovať zákaznícku podporu. Niektoré aplikácie či služby sú už o krok vpred: po viacerých opakovaných nesprávnych pokusoch vám ponúknu možnosť prihlásenia pomocou jednorázového hesla. Používatelia tak vedia tento problém vyriešiť okamžite, a to aj sami, bez nutnej pomoci druhej strany.

Využitie one-time password na Zajo.net

Na zlepšenie používateľskej skúsenosti pri tvorbe e-shopu Zajo.net sme pracovali s možnosťou doregistrovania sa v neskorších krokoch objednávky alebo po objednávke. Hľadali sme spôsob ako sa používateľ bude vedieť bezproblémovo vrátiť k poslednému kroku registrácie. Rozhodli sme sa implementovať jednorázové heslo, pomocou ktorého nám na prihlasovanie sa stačí poznať e-mail zákazníka (na ktorý je ďalej zaslaný unikátny prihlasovací kód).

OTP prihlasovanie môžu využiť všetci používatelia v rámci zefektívnenia prihlasovacieho procesu. Nemusia sa naďalej trápiť hádaním hesiel, ktoré možno použili pri registrácii na e-shop. Kódom sa prihlásia bez hesla a nestratia tak prístup k sledovaní objednávok a k ďalším výhodám, ktoré sú sprístupnené len pre registrovaných používateľov.

Záver

Keďže mnoho ľudí má vo zvyku vytvárať si heslá, ktoré nie sú bezpečné, nemali by sme sa spoliehať na to, že si vytvoria neprelomiteľné heslo. Rovnako by sme ich nemali pri registrácii nútiť splniť požiadavky pre silné heslo, môže ich to frustrovať. A ako ukazujú štatistiky, takmer polovica respondentov sa spolieha pri prihlasovaní len na svoju pamäť – je teda málo pravdepodobné, že si zapamätajú rôzne heslá, ktoré majú viac ako 15 znakov.

Riešením je implementácia OTP hesiel tam, kde pracujeme s citlivými údajmi zákazníkov. Tento spôsob prihlasovania je spoľahlivejší a bezpečnejší ako statické prihlasovanie sa heslom. Pre dosiahnutie maximálnej bezpečnosti môžeme OTP skombinovať s dvojfaktorovou autorizáciou, alebo s použitím fyzických autentifikátorov (napr. na USB kľúči).

Nie ste si istí, ako aplikovať jednorázové heslo na váš e-shop? Neváhajte nás kontaktovať.

Zdroje:

https://www.comparitech.com/blog/information-security/password-statistics/

https://www.thalesgroup.com/en/markets/digital-identity-and-security/technology/otp

https://www.sinch.com/blog/one-time-password/

https://authy.com/what-is-2fa/

https://go4mobility.com/en/blog-en/articles/benefits-for-implementing-an-otp-system/

https://telnyx.com/resources/hard-token-vs-soft-token

https://www.onelogin.com/learn/6-types-password-attacks