OTP-паролі — це одноразові паролі (походження OTP від англ. one time password), які використовуються для одного сеансу автентифікації. Їх дія зазвичай обмежена часом. Ви могли отримувати такі коди на телефон чи пошту при спробі зайти в онлайн-банкінг або коли налаштовували двофакторну автентифікацію за допомогою застосунку Google Автентифікатор. 

На відміну від статичного пароля одноразовий надає більшу безпеку — якщо зловмисник навіть перехопить його, може не встигнути скористатися. OTP-паролі створюються завдяки алгоритму випадкових чисел, тож здогадатися, яка послідовність випаде наступного разу шахрай не зможе. І це теж перевага OTP-паролів. 

Звичайно, чим довший пароль, тим, з одного боку, зловмиснику складніше його підібрати, але й, з іншого боку, звичайному користувачеві складніше запам’ятати та вчасно ввести пароль вручну. Тож в цьому питанні на допомогу людині приходять технології. Ключі YubiKey — одна з найбільш ефективних, тож розглянемо, як вони працюють.

Як працюють OTP-паролі з YubiKey

Серії ключів безпеки YubiKey 5 та YubiKey FIPS підтримують декілька протоколів OTP, це:

Yubico OTP — 128-бітний пароль, що складається з 44 символів; 12 з них є незмінними, вони служать ідентифікатором самого пристрою YubiKey. Такий пароль майже неможливо підробити. Нижче приклад такого пароля, викликаного тричі.

cccjgjgkhcbbirdrfdnlnghhfgrtnnlgedjlftrbdeut

 

cccjgjgkhcbbgefdkbbditfjrlniggevfhenublfnrev

 

cccjgjgkhcbbcvchfkfhiiuunbtnvgihdfiktncvlhck

 

  • OATH-HOTP та OATH-TOTP — це 6–8 значні одноразові паролі, які змінюються протягом 30 секунд. У кодах TOTP код генерується за допомогою хешу HMAC(sharedSecret, timestamp), де позначка часу змінюється кожні 30 секунд. Спільний секрет часто надається як QR-код або є попередньо запрограмованим в апаратному маркері. А у кодах HOTP замість позначки часу використовується лічильник автентифікації. Тож при налаштуванні цієї функції важливо простежити, щоб лічильник часу на пристрої був налаштований на точний час. 
image1
  • Переваги використання OTP на YubiKey

    • Секрети завжди залишаються на ключах YubiKey. Зчитати з них інформацію неможливо. А з телефону чи комп’ютера, у разі зламу і запуску шпигунського програмного забезпечення, інформацію може бути зчитано. 
    • Ключі не вимагають підзарядки на відміну від телефону, який дуже часто використовують для двофакторної автентифікації. Тож навіть, якщо ви забудете підзарядку, то зможете потрапити до своїх акаунтів будь-де за допомогою апаратних пристроїв.

    ОТР, що викликаються дотиком на комп’ютері

    Якщо налагодити функцію OTP-паролів на YubiKey таким чином, щоб вона викликалася дотиком, то процес авторизації виглядатиме так:

    • на запит сервера треба вставити ключ в USB-роз’єм;
    • поставити курсор миші в текстове поле;
    • торкнутися металевої частини золотого кольору і ключ автоматично передасть OTP-пароль.

    ОТР, що викликаються дотиком на мобільному пристрої

    Оскільки на мобільному пристрої є функція NFC, то процес автентифікації трохи відрізняється — треба піднести ключ до задньої частини телефону, торкнутися екрану там, де має бути введено пароль. Також ключ може підключатися до мобільного пристрою за допомогою відповідного інтерфейсу: USB-C або Lightning.

    Як налаштувати OATH-HOTP та OATH-TOTP

    Налаштувати функцію одноразового пароля на YubiKey можна двома методами:

    Завдяки інтуїтивно зрозумілому інтерфейсу, ви можете швидко налаштувати відповідні функції та використовувати апаратні пристрої в повному обсязі, щоб підвищити безпеку ваших облікових записів і захиститися від фішингу. 

    Якщо ви не знаєте, який ключ YubiKey найкраще відповідатиме вашим побажанням, рекомендуємо пройти швидкий тест.

Схожі матеріали в Базі Знань

Режим смарт-картки YubiKey на macOS — зручна автентифікація для розробників

Режим смарт-картки YubiKey на macOS — зручна автентифікація для розробників

Смарт-картки користуються великою популярністю вже багато років як надійний засіб для ідентифікації, автентифікації та авторизації на підприємствах чи в навчальних закладах. Вони бувають різних формфакторів: від SIM-картки на телефоні до пластикової картки. Але якщо...

Як захиститися від фішингу за допомогою YubiKey на Binance

Як захиститися від фішингу за допомогою YubiKey на Binance

Binance — одна з найбільших та найпопулярніших бірж криптовалюти у світі. За її допомогою можна відстежувати рухи ринку криптовалюти, інвестувати у цифрові активи та проводити торгові операції у режимі реального часу.  Звісно, для того, щоб ефективно користуватися...

Автентифікатор Yubico — інструкція з використання

Автентифікатор Yubico — інструкція з використання

Ця інструкція створена для того, щоб допомогти вам налаштувати ключі YubiKey в будь-яких сервісах, які пропонують підключення двофакторної автентифікації за допомогою програм-автентифікаторів, що генерують коди.