AnuncioUna contraseña de un solo uso es una contraseña que se utiliza para autenticación o autorización. Cada contraseña de un solo uso es válida para un solo uso y no se puede utilizar una segunda vez. En consecuencia, cada autenticación o autorización requiere una nueva contraseña de un solo uso. Es seguro contra ataques pasivos, es decir, escuchas ilegales. Los ataques de repetición también son imposibles. Las contraseñas de un solo uso no ayudan contra el escenario de ataque de intermediario. Además, el uso de contraseñas de un solo uso no influye en la seguridad de un método de cifrado. El desafío con las contraseñas de un solo uso es cómo ambas partes pueden saber qué contraseña es válida para un proceso de inicio de sesión en particular. Hay dos formas de hacer esto: listas de contraseñas o generadores de contraseñas. Listas de contraseñas OTP Con este sistema, las listas de contraseñas ya preparadas se almacenan en ambos lados. Esta lista se procesa secuencialmente (es decir, las entradas se numeran consecutivamente) o se selecciona libremente un valor que aún no se ha utilizado. Este valor se transmite como contraseña y se elimina de la lista en ambos lados. Las listas TAN en la banca en línea son un ejemplo de lista de contraseñas. Entre las variantes mencionadas anteriormente existe la siguiente diferencia: En el caso de contraseñas de un solo uso que se utilizan una tras otra, es decir, secuencialmente, hay exactamente una válida. valor en un momento dado, es decir, el primero que aún no se ha utilizado. En el caso de contraseñas de un solo uso, que el remitente puede seleccionar arbitrariamente de una lista, hay exactamente tantos valores válidos en un momento dado como valores no utilizados en la lista. Una desventaja es la posible pérdida de la contraseña. lista. Un atacante que las obtenga (p. ej., en caso de una intrusión en el sistema) conoce todas las contraseñas de un solo uso posibles. Por lo tanto, es preferible a este método un sistema que no tenga que almacenar la lista en su totalidad. Generadores de contraseñas OTP Un generador de contraseñas es un programa que genera automáticamente una contraseña. En el caso de los generadores de contraseñas, un algoritmo especial genera una contraseña actualizada en cualquier momento. Se debe hacer una distinción entre tres métodos: Generadores cronometrados Generadores impulsados ​​por eventos Generadores impulsados ​​por desafíos y respuestas En los tres, no es el algoritmo en sí lo que se transmite, sino sólo la prueba, el resultado del algoritmo. Con el resultado correcto, el cliente demuestra que tiene el algoritmo correcto y, si es necesario, la inicialización correcta. Aunque el servidor realiza el mismo cálculo que el cliente (el token de seguridad), generalmente acepta y calcula múltiples contraseñas de un solo uso dentro de un rango de tolerancia, ya que el reloj integrado en el token puede no ser 100% preciso. Sin embargo, cada contraseña de un solo uso tiene un intervalo de tiempo bien definido para su validez, que generalmente es de entre 1 y 15 minutos. Si varias entidades independientes utilizan un solo token, se abriría la escucha de la contraseña de un solo uso en una ubicación. Esto genera un riesgo de seguridad para las otras entidades dentro del rango de tolerancia. En el método basado en eventos, como en el método cronometrado, el servidor realiza el mismo cálculo que tuvo lugar en el lado del cliente, y aquí también calcula y acepta varios cálculos individuales. contraseñas de tiempo dentro de un rango de tolerancia, excluyendo aquellas que ya han sido utilizadas. El motivo es que, en ocasiones, el propietario no podrá utilizar una contraseña generada. Este método es mucho más respetuoso con las baterías del dispositivo correspondiente (token). También es posible operarlo sin una fuente de alimentación permanente simplemente almacenando el último valor utilizado y, por lo tanto, devaluado de todos modos. Si varias entidades independientes utilizan un solo token, todas las entidades deben ser notificadas de manera oportuna de cualquier uso en cualquier caso. .No existen problemas de sincronización en el caso de un procedimiento de interrogación-respuesta. En este procedimiento, el servidor especifica una tarea (desafío) que el cliente debe responder (respuesta). En otras palabras, el cliente recibe un valor del servidor como entrada y calcula una contraseña de un solo uso basándose en él. La ventaja de este procedimiento es que el desafío se puede configurar de forma completamente independiente. Si no hay un algoritmo en el lado del servidor que pueda calcularse de antemano, entonces no hay forma de calcular una respuesta por adelantado en el lado del cliente o del cracker. Esto también permite utilizar un único algoritmo para varios organismos independientes, lo que no reduce la seguridad. Existen soluciones que utilizan un dispositivo (token) para calcular la respuesta. En este caso, también se puede utilizar la técnica que se describe a continuación, con el valor inicial como desafío. El requisito previo para el procedimiento de contraseña de un solo uso es que ambas partes involucradas (cliente y servidor) tengan una contraseña secreta común. ¿Cuándo tiene sentido utilizar contraseñas de un solo uso? El hecho de que las contraseñas de un solo uso dejen de ser válidas después de un corto período de tiempo impide que posibles atacantes obtengan los códigos y los reutilicen posteriormente. Por lo tanto, el uso de contraseñas de un solo uso se recomienda especialmente para sitios web y servicios en línea que utilizan datos especialmente importantes y sensibles. Por ejemplo, en el caso de: Datos confidenciales de la empresa Canales de comunicación confidenciales Banca en línea Servicios financieros como bolsas de criptomonedas o cuentas de acciones en línea Por lo tanto, no se requieren contraseñas de un solo uso para todos los sitios web. Sin embargo, debido al aumento de la ciberdelincuencia, en general es recomendable prestar atención a las contraseñas seguras.

Source link