رمز یکبار مصرف یا OTP چیست؟

در این مقاله قصد داریم به این موضوع بپردازیم که منظور از رمز یکبار مصرف یا OTP چیست؟ OTP مخفف عبارات One Time Password به معنای رمز یکبار مصرف می باشد، همچنین به عنوان one-time pin  یا رمز عبور شناخته می شود، رمز عبوری است که فقط یک بار می توان از آن استفاده کرد. یعنی رمز یکبار مصرف، رمز عبوری می باشد که فقط در یک جلسه ورود یا تراکنش در یک سیستم رایانه ای یا سایر دستگاه های دیجیتال قابل اعتبار است. OTP ها از تعدادی از کاستی هایی که با احراز هویت سنتی مبتنی بر رمز عبور همراه است، جلوگیری می کنند.

رمز یکبار مصرف چگونه کار می کند؟

در روش های تایید هویت مبتنی بر OTP، برنامه OTP کاربر و سرور تایید اعتبار به اسرار مشترک متکی است. مقادیر رمزهای یکبار مصرف با استفاده از الگوریتم Hashed Message Authentication Code (HMAC)  و یک عامل متحرک مانند اطلاعات مبتنی بر زمان (TOTP) یا یک شمارنده رویداد  (HOTP) تولید می شوند. مقادیر رمز یکبار مصرف برای امنیت بیشتر دارای نشانگرهای دقیقه یا ثانیه هستند. رمز یکبار مصرف را می توان از طریق چندین کانال از جمله پیام متنی مبتنی بر SMS، ایمیل یا برنامه اختصاصی به کاربر تحویل داد.

متخصصان امنیتی مدت ها است که نگران این هستند که از طریق جعل SMS message و حملات man-in-the-middle (MITM)  برای شکستن سیستم های ۲FA که به رمزهای یکباره متکی هستند، استفاده شوند. با این حال، مؤسسه ملی استاندارد و فناوری ایالات متحده (NIST) اعلام کرد که قصد دارد با استفاده از SMS  برای ۲FA و رمز یکبار مصرف استفاده کند زیرا این روش در مقابل مجموعه حملات آسیب پذیر است. در نتیجه، شرکت هایی که در نظر دارند از رمزهای یکبار مصرف استفاده می کنند، باید علاوه بر پیامک از روش های تحویل دیگری را نیز استفاده کنند.

مزایای استفاده رمز یکبار مصرف

یکی از مهمترین مزایای استفاده از رمز یکبار مصرف بر خلاف رمزهای استاتیک، امنیت بسیار بالای آن در برابر محافظت و جلوگیری از سرقت اطلاعات است. همچنین OTP ها در برابر حمله مجدد آسیب پذیر نیستند و این بدان معنی است که یک متجاوز قادر به ضبط OTP است که قبلاً برای ورود به سرویس یا انجام تراکنش استفاده شده بود و قادر به سوء استفاده از آن نخواهد بود، زیرا دیگر اعتبار نخواهد داشت. دومین مزیت مهم این است که کاربر که از یک رمز عبور استاتیک می تواند برای چندین سیستم مورد استفاده قرار می گیرد که در این صورت در اختیار مهاجم قرار می گیرد و در برابر همه آنها آسیب پذیر نمی شود. همچنین تعدادی از سیستم های OTP هدف این است که اطمینان حاصل کنند که یک جلسه بدون آگاهی از داده های غیرقابل پیش بینی ایجاد شده در دفعه قبل، به راحتی قابل رهگیری یا جعل هویت نیست، بنابراین سطح حمله را کاهش می دهد.  OTP ها به عنوان جایگزین احتمالی رمزهای سنتی و همچنین تقویت کننده آن مورد توجه قرار گرفته است. استفاده از رمز یکبار مصرف برای انسان دشوار است، بنابراین استفاده از آن به فناوری اضافی نیاز دارد.

معایب استفاده رمز یکبار مصرف

به طور کلی استفاده از رمز یکبار مصرف، هزینه بر است زیرا سخت افزار، Token و یا فرستادن کدها  با استفاده از تلفن یا موبایل هزینه های زیادی در بر دارد. اما استفاده از نرم افزارهای مخصوص نصب شده در گوشی همراه برای داشتن رمز یکبار مصرف هزینه کمتری نسبت به سخت افزارهای مخصوص دارد اما لازم است به این نکته اشاره کرد که ارسال کد رمز یکبار مصرف نسبت به سخت افزار امنیت کمتری دارد. بنابراین کاربر باید توجه به نیاز و هزینه یکی از مناسب ترین روش های استفاده از رمز یکبار مصرف را انتخاب کند. عیب دیگر استفاده از رمز یکبار مصرف این است که روش های پیشنهاد شده می تواند مشکل ساز باشند. به عنوان مثال در صورت عدم دسترسی به گوشی همراه یا سخت افزار مورد نیاز نمی توان وارد سیستم شد از این رو برای رفع این مشکل باید از روش های جایگزین اضطراری برای وارد شدن به سیستم استفاده کرد.

نحوه تولید و توزیع رمز یکبار مصرف

با استفاده از رمز یکبار مصرف، فعالیت Key logger را نیز می توان متوقف کرد. در این صورت Key logger که رمز عبورها را نگهداری و به سازنده خود ارسال می کند، بی اثر می گردد زیرا رمز عبور ذخیره شده توسط Key logger فقط برای بار اول معتبر خواهد بود و برای بار بعد بی اثر است. در واقع الگوریتم های تولید رمز یکبار مصرف معمولا از الگوهای شبه تصادفی یا تصادفی و یا تابع Hash استفاده می کنند و توابع Hash به راحتی تولید می شوند.

روش های تولید رمز یکبار مصرف

از جمله روش های تولید رمز یکبار مصرف می توان به موارد زیر اشاره کرد:

• روش مبتنی بر هماهنگ سازی زمان بین server احراز هویت و client برای ارائه رمز عبور( رمزهای یکبار مصرف فقط برای مدت زمان کوتاهی معتبر می باشند)
• استفاده از یک الگوریتم ریاضی برای تولید رمز عبور جدید براساس رمز عبور قبلی (رمزهای یکبار مصرف به طور موثر یک زنجیره هستند و باید به ترتیب از پیش تعریف شده استفاده شوند.)
• استفاده از یک الگوریتم ریاضی که در آن رمز عبور جدید مبتنی بر یک چالش است (به عنوان مثال، یک شماره تصادفی که توسط سرور تایید اعتبار یا جزئیات تراکنش انتخاب شده است و یا یک شمارنده)

همچنین روش های مختلفی برای تولید رمز یکبار مصرف وجود دارد که کاربر را از استفاده از OTP بعدی آگاه می کند. برخی از سیستم ها از token های الکترونیکی امنیتی مخصوص کاربر جابجا می کند استفاده می کنند و رمز یکبار مصرف را تولید می کنند و آنها را با استفاده از یک صفحه نمایش کوچک نشان می دهند. سایر سیستم ها شامل نرم افزاری هستند که بر روی تلفن همراه کاربر قابل اجرا می باشند. با این وجود سیستم های دیگر، OTP ها را در سمت سرور ایجاد می کنند و آنها را با استفاده از یک کانال out-of-band  از قبیل پیام رسانی SMS به کاربر ارسال می کنند. یا در برخی از سیستم ها، OTP ها روی کاغذ چاپ می شوند که کاربر بایستی آن کاغذ را همراه خود داشته باشد.

راه های استفاده از رمز یکبار مصرف توسط کاربران

به طور کلی از جمله راه های استفاده از رمز یکبار مصرف توسط کاربران می توان به موارد زیر اشاره کرد:

• ارسال رمز از طریق sms به موبایل کاربر
• ثبت شماره موبایل کاربر در سیستم و بررسی اعتبار آن
• تولید چند بار رمز عبور یکبار مصرف برای یک بازه زمانی معین (به عنوان مثال یک ماه) که هر بار می توان از یکی از آنها استفاده کرد.
• استفاده از یک سخت افزار مستقل از کامپیوتر کاربر و شبکه اینترنت (شرکت های بزرگ تجاری از این روش استفاده می کنند)

نحوه استفاده از رمز یکبار مصرف

جهت فعال سازی و استفاده از رمز یکبار مصرف بایستی به یکی از شعبه های بانک مربوطه مراجعه کرد و رمز یکبار مصرف خود را فعال کرد. سپس با نصب آخرین ورژن نرم افزار موبایل بانک یا ثبت شماره موبایل می توان رمز یکبار مصرف را از طریق SMS دریافت کرد، می توان از نرم افزارهای موبایل بانک و یا یکی از نرم افزارهای قابل دانلود استفاده کرد. بانک روی نرم افزار موبایل ویژه خود یک حساب کاربری با مشخصات کاربر فعال می کند. زمانی که فرد می خواهد خرید اینترنتی یا انتقال پول به صورت آنلاین انجام دهد بایستی این برنامه را روی گوشی خود باز کند و یک رمز دریافت کرد که این رمز فقط برای همین تراکنش معتبر خواهد بود.

روش های فعال سازی رمز یکبار مصرف

روش های فعال سازی رمز یکبار مصرف به شرح زیر می باشد:

• استفاده از نرم افزارهای بانکی
• پیامک تلفنی
• استفاده از کد دستوری USSD

امید است که مطالعه این مقاله در خصوص رمز یکبار مصرف یا One Time Password (OTP) مورد توجه شما خوانندگان گرامی قرار گرفته باشد و مفید واقع شود.

سوالات متداول

1. مهمترین مزیت استفاده از رمز یکبار مصرف نسبت به رمزهای استاتیک چیست؟

مهمترین مزیت استفاده از رمز یکبار مصرف نسبت به رمزهای استاتیک، امنیت بسیار بالای آن در برابر محافظت و جلوگیری از سرقت اطلاعات و آسیب ناپذیر بودن رمز یکبار مصرف در برابر حمله مجدد می باشد.

2. رمز یکبار مصرف چه مزایای نسبت به رمزهای استاتیک دارد؟

از جمله مزایای استفاده از رمز یکبار مصرف نسبت به رمزهای استاتیک می توان به موارد زیر اشاره کرد:

• امنیت بسیار بالای آن در برابر محافظت و جلوگیری از سرقت اطلاعات
• کاربر می تواند از رمز عبور استاتیک برای برای چندین سیستم استفاده کند که در این صورت در اختیار مهاجم قرار می گیرد و در برابر همه آنها آسیب پذیر نمی شود ولی با استفاده از رمز یکبار مصرف می توان اطمینان حاصل کرد یک جلسه بدون آگاهی از داده های غیرقابل پیش بینی ایجاد شده در دفعه قبل، به راحتی قابل رهگیری است و یا جعل هویت نیست، بنابراین سطح حمله را کاهش می دهد.

3. مقادیر رمزهای یکبار مصرف با استفاده از الگوریتم هایی تولید می شوند؟

مقادیر رمزهای یکبار مصرف با استفاده از الگوریتم Hashed Message Authentication Code (HMAC) و یک عامل متحرک مانند اطلاعات مبتنی بر زمان (TOTP) یا یک شمارنده رویداد (HOTP) قابل تولید می باشند.