Contraseña de un solo uso

Contraseña de un solo uso (OTP, " contraseña (válida) solo una vez ") , en el contexto de cifrado y seguridad informática es una contraseña que es válida solo para una sola sesión de inicio de sesión o transacción. Para este propósito, la OTP también se llama contraseña desechable. OTP evita una serie de deficiencias asociadas con el uso de la contraseña tradicional (estática). El problema más importante que resuelve OTP es que, a diferencia de la contraseña estática, no es vulnerable a los ataques de replicación. Esto significa que, si un posible intruso logra interceptar una OTP que ya se ha utilizado para acceder a un servicio o ejecutar una transacción, no podrá reutilizarla, ya que dejará de ser válida. Por otro lado, una OTP no puede ser almacenada por una persona, ya que sería inútil por la misma razón. Por lo tanto, requiere tecnología adicional para ser utilizado (un dispositivo físico con la calculadora OTP incorporada, o un número de móvil específico). Las OTPs se pueden utilizar como el único factor de autenticación, o además de otro factor, como la contraseña del usuario, los datos de la tarjeta de crédito o un PIN para lograr la autenticación de dos factores.

Los algoritmos OTP que se han hecho son bastante diferentes entre sí. Lo que los une es que cada OTP se genera aplicando una función criptográfica a un conjunto único de valores. Esto es necesario porque, de lo contrario, sería fácil predecir la futura Fiscalía mirando las anteriores. A continuación se enumeran los diversos enfoques para generar la oficina del Fiscal:

Un OTP basado en la sincronización de tiempo generalmente se adjunta a un componente de hardware llamado token, a cada usuario se le asigna un token personal para generar sus propios OTPs. El token está equipado con un reloj interno, que se ha sincronizado con el reloj del servidor de autenticación propietario. En estos sistemas OTP, el tiempo es una parte importante del algoritmo de generación de contraseñas, ya que la generación de nuevas contraseñas se basa en la hora actual en lugar de, O además de, la contraseña o Clave Privada anterior. Este token puede ser un dispositivo propietario, un teléfono móvil o un dispositivo móvil similar que ejecute software propietario, gratuito o de código abierto. Un ejemplo de este algoritmo, acreditado a Leslie Lamport utiliza una función unidireccional (referida a continuación como f {\displaystyle F} ), funciona de la siguiente manera: las funciones hash están diseñadas para ser extremadamente difíciles de revertir, por lo que un atacante debe conocer la semilla inicial para calcular posibles contraseñas, mientras que en reversa, el sistema puede confirmar que la contraseña en cualquier ocasión es válido comprobando que, una vez aplicada la función hash, el valor obtenido es el utilizado previamente para el acceso Cada nueva OTP proviene de la anterior utilizada. Para obtener la siguiente contraseña de la serie de las contraseñas anteriores, debe encontrar una manera de calcular la función inversa f − 1 {\displaystyle F^{ - 1}} . Ya f {\displaystyle F} fue elegido para ser unidireccional, esto es extremadamente difícil de hacer. En los sistemas con OTP basado en un desafío - el servidor envía al usuario el Desafío, El usuario lo inserta en su dispositivo OTP, y se volverá a cifrar utilizando la clave privada; mientras tanto, el servidor cifrará el desafío con la clave privada asociada con el usuario, el usuario envía el desafío cifrado al servidor, y si el valor calculado por el Usuario es igual al valor calculado por el servidor, entonces la autenticación está autorizada Si f {\displaystyle F} es una función hash criptográfica, que es el caso general, es (hasta donde se conoce) una tarea computacionalmente inviable. Un intruso que logra obtener una OTP puede tener acceso por un período de tiempo o por una sesión, pero se vuelve inútil una vez que ese período ha expirado. El sistema S/KEY de contraseña de un solo uso y su derivado de token OTP se basan en el esquema Lamport.

Una tecnología común utilizada para la entrega OTP es la mensajería de texto. Porque la mensajería de texto es un canal de comunicación ubicuo, estando disponible directamente en casi todos los teléfonos celulares y, a través de la conversión de texto a voz a cualquier teléfono móvil u otro, la mensajería de texto tiene un gran potencial para llegar a todos los consumidores con un bajo costo total. Sin embargo, el costo de los mensajes de texto para cada oficina del fiscal puede no ser aceptable para algunos usuarios. La OTP en mensajes de texto se puede cifrar utilizando un estándar A5 / x, que varios grupos de hackers informan que se puede descifrar con éxito en minutos o segundos. Además, las fallas de seguridad en el protocolo de enrutamiento SS7 pueden y se han utilizado para redirigir mensajes de texto con OTPs a atacantes; en 2017, varios clientes de O2 en Alemania fueron hackeados de esta manera para obtener acceso a sus cuentas de banca móvil. En julio de 2016, el NIST de EE.UU. publicó un borrador de una publicación especial con directrices sobre prácticas de autenticación, que desalienta el uso de SMS como un método de implementación de autenticación fuera de banda de dos factores, debido a la capacidad de interceptar SMS a escala. En los teléfonos inteligentes, Las OTP también se pueden entregar directamente a través de aplicaciones, incluidas aplicaciones de autenticación dedicadas como Authy, Duo y Google Authenticator, o dentro de una aplicación de Proveedor de servicios, como en el caso de Steam. Estos sistemas no comparten las mismas vulnerabilidades de seguridad que los SMS y no requieren necesariamente una conexión a una red móvil para su uso, ya que están basados en Internet. EMV está empezando a utilizar un algoritmo de desafío-respuesta (llamado Programa de autenticación de Chip) para las tarjetas de crédito en Europa. Por otro lado, en el control de acceso para redes informáticas, SecurID de RSA Security y HID Global son ejemplos de tokens de sincronización de tiempo. Los principales problemas de los tokens físicos son que pueden perderse, dañarse o robarse; además, hay un inconveniente relacionado con la duración de la batería, especialmente para los tokens sin una función de carga o una batería reemplazable. Una variante del token propietario fue propuesta por RSA en 2006 y ha sido descrita como "autenticación ubicua" , en la que RSA se asociaría con los fabricantes para agregar chips de seguridad física a dispositivos como teléfonos móviles. Yubico ofrece un pequeño token USB con un chip incorporado que crea una OTP cuando se presiona una tecla y simula un teclado para que sea fácil ingresar una contraseña larga. Dado que este es un dispositivo USB, evita el inconveniente de reemplazar la batería. Los proveedores de autenticación como servicio ofrecen varios métodos basados en la Web para entregar OTP sin la necesidad de tokens físicos. Google proporciona un servicio de generación OTP llamado Google Authenticator disponible como aplicación móvil para Android, iOS y BlackBerry OS. En la banca en línea en algunos países, el banco envía al usuario una lista numerada de OTP impresas en papel. Otros bancos envían tarjetas de plástico con una capa que el Usuario debe rascar para revelar un OTP numerado. Para cada transacción en línea, el Usuario debe ingresar una OTP específica de esa lista. Algunos sistemas requieren secuencialmente OTP numeradas, otros pseudo-aleatoriamente eligen una OTP para entrar. En Alemania y muchos otros países como Austria y Brasil, estos OTP se llaman típicamente TAN (" número de autenticación de transacción ") . Algunos bancos incluso envían tal TAN al teléfono móvil del Usuario a través de SMS, en ese caso se llaman mTAN (" TAN Móvil ") .

Las soluciones OTP más baratas son las que proporcionan OTP en papel y las que generan OTP en un dispositivo existente, sin los costos asociados con la (re) emisión de tokens de seguridad electrónicos propietarios y mensajes SMS. Para los sistemas que dependen de tokens electrónicos, los generadores OTP basados en algoritmos tienen que lidiar con la situación en la que un token se desincroniza con su servidor si el sistema requiere que la OTP se ingrese dentro de un plazo. Esto conlleva un costo adicional de desarrollo. Por otro lado, los sistemas de sincronización de tiempo evitan esto a expensas de tener que mantener un reloj en los tokens electrónicos (y un valor de desplazamiento para tener en cuenta la diferencia de frecuencia entre el reloj del dispositivo y el reloj del servidor). Que la OTP se sincronice con el tiempo es esencialmente irrelevante para la vulnerabilidad, pero evita la necesidad de volver a ingresar contraseñas en caso de que el servidor y la OTP se hayan des - sincronizado hasta el punto de que el servidor solicite una contraseña anterior o posterior a la que debería solicitar. El uso de un dispositivo móvil existente evita la necesidad de obtener y transportar un generador OTP adicional. La batería se puede recargar; a partir de 2011, la mayoría de los dispositivos pequeños no tienen baterías recargables o reemplazables. Sin embargo, la mayoría de los tokens propietarios tienen características a prueba de manipulaciones. Las OTP son vulnerables a los ataques de ingeniería social donde los phishers roban OTP engañando a los clientes para que proporcionen una o más OTP que hayan utilizado en el pasado. A finales de 2005, los clientes de un banco sueco fueron engañados para que revelaran su próxima OTP. En 2006 este tipo de ataque fue utilizado contra clientes de un banco estadounidense. Las OTP sincronizadas en el tiempo también son vulnerables al phishing, con dos métodos: la contraseña puede ser utilizada más rápidamente por el atacante como usuario legítimo, si el hacker puede obtener la OTP lo suficientemente rápido. El otro tipo de ataque - que puede ser derrotado por los sistemas OTP que implementan la cadena hash como se discutió anteriormente-es que el phisher utiliza la información adquirida (códigos OTP anteriores que ya no son válidos) con este método de ingeniería social para predecir qué OTP se utilizarán en el futuro. Por ejemplo, un generador de contraseñas OTP que es pseudo-aleatorio en lugar de Aleatorio podría verse comprometido, ya que los números pseudo-aleatorios, a diferencia de los realmente aleatorios, a menudo son predecibles una vez que se han pasado los códigos OTP. Un sistema OTP solo puede usar OTP verdaderamente aleatorias si la OTP es generada por el autenticador y transmitida (presumiblemente fuera de banda) al usuario; de lo contrario, la OTP debe ser generada independientemente por cada parte, haciendo necesario un algoritmo repetible y, por lo tanto, simplemente pseudo - aleatorio. Aunque las OTP son algo más seguras que una contraseña estática almacenada, los usuarios de los sistemas OTP siguen siendo vulnerables a los ataques man - in - the - middle. Por lo tanto, las OTP no deben revelarse a terceros y utilizar una OTP como factor de autenticación adicional es más seguro que utilizar una OTP como único factor de autenticación. Una forma de implementar la autenticación por niveles es usar una OTP en combinación con una contraseña que es almacenada por el Usuario (y nunca transmitida al usuario, como suele ser el caso con OTP). Muchas tecnologías OTP están patentadas. Esto hace que la estandarización en esta área sea más difícil, ya que cada empresa intenta impulsar su propia tecnología. Sin embargo, hay normas, por ejemplo RFC 1760 (s/KEY), RFC 2289 (OTP), RFC 4226 (HOTP) y RFC 6238 (TOTP).

Técnicas de defensa informática

Terminología informática

Columna Virtual

En las bases de datos, las columnas virtuales son campos de una tabla cuyo valor se calcula en función del valor de otras columnas u otras expresiones determini...

Mimikatz

Mimikatz es un programa gratuito y de código abierto para Microsoft Windows que se puede utilizar para obtener información sobre las credenciales de inicio de s...

Lenguajes de programación

Software de seguridad informática gratuito

Software gratuito para Microsoft Windows

Software Libre en C

Técnicas de ataque cibernético

Esta página se basa en el artículo de Wikipedia: Fuente, Autores, Licencia Creative Commons Reconocimiento-CompartirIgual.
This page is based on the Wikipedia article: Source, Authors, Creative Commons Attribution-ShareAlike License.
contactos
Política de privacidad , Descargos de responsabilidad