Компания "Актив" представила новое пользовательское устройство - аутентификатор Рутокен ОТР. Оно предназначено для надежной защиты учетных записей пользователя за счет реализации двухфакторной аутентификации.

В Рутокен ОТР реализован алгоритм создания одноразовых паролей на основе времени (TOTP Time-Based One-Time Password), поэтому устройство подходит для аутентификации в различные клиентские приложения. В том числе онлайн-сервисы, где поддерживается работа приложений - аутентификаторов, как Google Authenticator, Яндекс.Ключ и их аналоги.

Популярные технологии по реализации одноразовых паролей

В настоящее время наиболее распространенным методом аутентификации является связка логин-пароль, но при использовании только этого метода высоки риски компрометации пользовательской учетной записи и утечки конфиденциальной информации.

Для усиления аутентификации были придуманы одноразовые пароли. Самыми популярными технологиями аутентификации с помощью одноразовых паролей являются SMS и PUSH-уведомления и звонки.

• SMS-аутентификация производится по телефонному номеру, на который высылается одноразовый код.
• PUSH-аутентификация производится по коду из загруженного на телефон приложения.
• Flash Call - аутентификация производится по входящему звонку, где последние 4 (6) цифр номера являются кодом для ввода.

Несмотря на их простоту, они имеют ряд недостатков. Для использования PUSH-уведомлений необходимо подключение к Интернету, а для безопасного использования SMS необходимо обеспечить доверие к мобильным операторам. 

Кроме этого, аутентификация с использованием PUSH-уведомлений, SMS и звонков является двухэтапной, но всё же однофакторной аутентификацией, т.к. одноразовый пароль генерируется на сервере, где и происходит аутентификация, а затем передается пользователю.

А двухфакторная аутентификация — это подтверждение входа с помощью двух разных факторов (знание, владение, свойство). 

Существует другая более продвинутая и не имеющая указанных недостатков технология аутентификации с помощью одноразовых паролей - TOTP.

Одноразовые пароли в таком случае генерируются независимо. Генерация происходит на стороне пользователя и на сервере, где происходит аутентификация. Аутентификация будет считаться успешной, если одноразовый пароль, предоставленный пользователем, совпадает с одноразовым паролем, вычисленным на сервере.

Одноразовые пароли вычисляются на основе криптографических преобразований и меняются через определенный промежуток времени. Для каждого запроса на доступ в учетную запись требуется использовать новый пароль, действительный только для одного входа в систему.

Что такое Рутокен ОТР и сценарий его использования

Рутокен ОТР представляет собой миниатюрное устройство с кнопкой и экраном, на который выводится одноразовый пароль.

Во время аутентификации пользователь вводит свой логин-пароль и одноразовый пароль c экрана Рутокен ОТР. Для того чтобы одноразовые пароли на Рутокен ОТР и сервере аутентификации совпали, на сервере и устройстве должны быть одинаковые параметры - секретный ключ и время.

По протоколу NFC на Рутокен ОТР можно импортировать секретный ключ и настроить параметры протокола TOTP, либо с помощью мобильного устройства, либо с помощью персонального компьютера с NFC-считывателем.

Основные возможности, которые обеспечивает Рутокен ОТР

• Устройства предоставляют возможность аутентификации на всех площадках, где поддерживается TOTP. Например, Яндекс, mail.ru, vk.ru, аккаунты Google и другие.
• Пользователь незначительно меняет привычный для себя сценарий аутентификации. Для входа в свою учетную запись достаточно ввести логин-пароль и одноразовый пароль, отображаемый на экране Рутокен ОТР.
• Устройства являются полностью автономными. Для работы не требуется подключение к Интернету, связи с ПК/мобильным устройством. Время на устройстве вычисляется с помощью аппаратного таймера. Время жизни батарейки до пяти лет при нормальном использовании.
• Устройства поддерживают импорт секретных ключей и настройку параметров по NFC. Рутокен ОТР поддерживает выработку одноразовых паролей по протоколу TOTP на основе времени, секретного ключа, с использованием алгоритмов HMAC-SHA1 и HMAC-SHA256.

Рутокен OTP - удобный и простой в использовании, отлично подойдет для безопасной аутентификации в корпоративных сервисах и порталах. Рутокен ОТР доступен к заказу на нашем сайте.