Es posible que OTP se conozca como una nueva generación de técnicas de seguridad de contraseña, pero quiero saber si sigue siendo lo suficientemente seguro después de varios años de aparición o se desaprobará pronto. &erio; ¿Cuál sería el posible reemplazo para eso?
Las contraseñas de un solo uso (que no deben confundirse con "One-Time Pad", una técnica teórica perfecta pero prácticamente pesada para el cifrado) son un concepto de sonido que no puede, en sí mismo, ser obsoleto. Simplemente significa: una contraseña dada (es decir, un valor secreto compartido entre el verificador y el verificador, utilizado para la autenticación) se puede usar solo una vez con el verificador; en otras palabras, si el verificador (por ejemplo, un servidor en el que desea iniciar sesión) acepta una contraseña pero rechazará cualquier otro intento con la misma contraseña, entonces es una contraseña de un solo uso.
Los esquemas de contraseña de una sola vez son sistemas que usan el concepto de Contraseña de una sola vez y establecen reglas y mecanismos para que las dos partes (prover y verificador) compartan uno. contraseñas de tiempo. Cualquier esquema dado puede ser débil o fuerte, roto, en desuso ... pero el concepto no está dañado. Los tokens RSA SecurID se pueden ver como una encarnación del concepto de contraseñas de un solo uso, una variante con una El reloj, en realidad, y están muy vivos.HOTP es un estándar gratuito y abierto para la generación de contraseñas de un solo uso (con un contador interno), que puede ser implementado por tokens de hardware extremadamente baratos.
(Los esquemas tradicionales de autenticación de contraseña única para servidores Unix utilizan la generación de software de listas de contraseñas, que los usuarios deben imprimir y guardar en su billetera, eliminando las contraseñas usadas. Esto nunca se hizo popular. Supongo que también lo es. baja tecnología; los usuarios no se sorprenden lo suficiente como para olvidar el inconveniente de jugar con un objeto tangible).
Las contraseñas de un solo uso (según lo implementado por RSA SecurID u otros proveedores) son teóricamente seguras, pero al igual que con todos los controles de seguridad, existen límites que deben considerarse al diseñar su sistema de seguridad.
La implementación de OTP puede tener fallas de implementación o diseño que pueden permitir eludirlas.
Los atacantes pueden interceptar y usar OTP mediante intermediarios de troyanos o ataques XSS, por ejemplo, en la etapa de autenticación (a menudo con una aparente denegación de servicio para usted como usuario, ya que otra parte está usando su OTP recién ingresada, invalidando así) it).
Lo más importante es que los sistemas OTP a menudo se limitan a autenticar a un usuario en lugar de autenticar una transacción. Una vez que se autentica a un usuario, un troyano puede reutilizar su sesión web autenticada con su banco, por ejemplo, para realizar transacciones en su nombre de manera astuta.
Aunque creo que las OTP todavía tienen un futuro brillante por delante, se verán reforzadas con más controles de seguridad y, en particular, intentarán abordar el problema de la autenticación de transacciones en lugar de limitarse a autenticar solo al usuario.
Las contraseñas de un solo uso son un concepto para realizar la autenticación de dos factores. Algo que el usuario sabe (contraseña) y algo que el usuario tiene (OTP Generator).
La contraseña única es la prueba de la posesión. En este caso, la "prueba de posesión" funciona así:
La contraseña de One Time es generada por un algoritmo como HOTP (RFC4226) o TOTP (RFC6238) basado en una clave kriptográfica secreta y algún factor de movimiento. El usuario solo es capaz de presentar la contraseña de una sola vez correcta si está en posesión de la clave secreto .
Esta es la razón por la que debe ocuparse de esta clave secreta y sospechar de las aplicaciones de teléfonos inteligentes para OTP como Google Authenticator .
Pero el concepto básico de OTP es el mismo que hacer criptografía de clave pública con respuesta de desafío. La posesión es la posesión de una clave secreta o privada .
OTP utiliza una clave secreta y no una clave privada , ya que el usuario debe ser capaz de escribir el resultado (valor OTP). Usando una clave privada , esto no sería posible, ya que el resultado de la operación de la clave privada es demasiado largo.
Un escenario clave privado siempre necesita el hardware para conectarse a la máquina (consulte Inicio de sesión con tarjeta inteligente). ... y esto requiere controladores y conectores. (Prueba esto con el iphone 11 ;-)
Así que sí, creo que el concepto básico de OTP - a.k.a. usando una tecla secret - seguirá existiendo por un tiempo.
Lea otras preguntas en las etiquetas passwords authentication one-time-password