« poprzedni punkt | następny punkt » |
Metoda haseł jednorazowych (one-time passwords) polega na jednorazowym wykorzystaniu wygenerowanego hasła. Wobec tego kradzież hasła nie stanowi zagrożenia. Najczęściej są to liczby wygenerowane na stacji klienckiej i weryfikowane na serwerze. Mogą one być również generowane na specjalnym serwerze. Można również wyposażyć użytkownika w specjalną kartę. Przy pomocy klawiatury wprowadza on swój PIN. Procesor karty wylicza liczbę, która zostanie wyświetlona a następnie wprowadzona przez użytkownika jako hasło. Serwer na podstawie podanego identyfikatora użytkownika potrafi wygenerować taki sam kod i dzięki temu zweryfikować użytkownika.
System jednorazowego hasła S/Key zdefiniowany przez RFC 1760 oparty jest na funkcji MD4 i MD5. Protokół ten został zaprojektowany do przeciwdziałania atakowi metodą powtórzeń. Atak ten w kontekście logowania występuje wtedy, gdy ktoś podsłucha połączenie i zdobędzie legalny identyfikator oraz hasło a potem wykorzysta je do uzyskania dostępu do sieci lub hosta. Procedura przedstawia się następująco:
Po pewnym czasie klient musi znowu zainicjować system za pomocą specjalnego polecenia.
Inne rozwiązania to uwierzytelnianie hasła za pomocą znacznika. Wymagają użycia tzw. inteligentnej karty (smart card) lub karty znacznika (token card). Chroniony obiekt musi być wyposażony w oprogramowanie agenta. Chroniony obiekt musi być wyposażony w oprogramowanie agenta. Ten mechanizm uwierzytelniania oparty może być na systemie wyzwanie-odpowiedź (challenge-response) lub uwierzytelnienie zsynchronizowane z czasem (time-synchronous authentication). Przykłady takich mechanizmów przedstawiono na rys. 2 i 3.
Rys. 2. Weryfikacja metodą "hasło-odzew"
Rys. 3. Uwierzytelnienie z pomocą kart z hasłami jednorazowymi
Rys. 4. Przykładowe tokeny wykorzystywane przy uwierzytelnianiu transakcji bankowych
« poprzedni punkt | następny punkt » |