معرفی محصول VASL OTP

کلمه‌ی عبور ایستای سنتی دچار ضعف‌هایی است که استفاده از آن را در اموری که نیاز به امنیت بسیار بالا (مانند امور بانکی، نظامی و غیره) می‌باشد با محدودیت روبرو می‌کند. این کلمات عبور معمولاً روی درایوهای حافظه‌ی رایانه یا بر روی سرور ذخیره می‌شوند و در معرض شکستن توسط هکرها قرار دارند. با توجه به ثابت بودن این کلمات عبور مسائل امنیتی زیر قابل توجه است:

  • نگاه دزدکی حین وارد شدن کلمه‌ی عبور
  • فیشینگ
  • حدس زدن کلمه‌ی عبور
  • حملات فرهنگ لغت
  • پایش
  • حملات Brute force
  • تروجان‌ها و غیره

برخلاف کلمه‌ی عبور ایستا، کلمه‌ی عبور یکبار مصرف (OTP) با هر بار ورود کاربر به سیستم تغییر می‌کند. تولید کننده‌های OTP در طرف مشتری می‌توانند سخت افزاری یا نرم افزاری باشند و از لحاظ تکنیکی به چهارطریق می‌توانند تولید شوند:

  • بر اساس سنکرون سازی زمانی بین برنامه سمت سرور و مشتری
  • بر اساس زنجیره‌ای از کلمات عبوری که قبلاً مورد استفاده قرار گرفته‌اند
  • بر اساس چالش
  • بر اساس امضای دیجیتال

 

آزمایشگاه خدمات ارزش افزوده به منظور تولید کلمه عبور یکبار مصرف، دو راهکار ذیل را توسعه داده و به جامعه بانکی ایران ارائه داده است.

  • مبتنی بر سیم کارت: کلمه عبور یکبار مصرف بر پایه یک برنامه تحت سیم کارت و بصورت آفلاین تولید می شود. به منظور حفظ امنیت این رهکار، پارامترهای یکتایی در برنامه بازای هر کاربر تعیین می¬گردد تا رمز تولید شده برای هر یک از کاربران متفاوت باشد.
  • مبتنی بر بستر USSD: کلمه عبور یکبار مصرف در سمت سرور (نصب شده در بستر مشتری مانند بانک) تولید شده و بر روی بستر USSD، و بصورت آنلاین برای کاربر ارسال می گردد.

 

ابزارهای مرسوم در تولید OTP

راهکار های مرسوم برای بکارگیری “کلمه عبور یکبار مصرف (OTP)”، شامل انواع ذیل می‌باشند:

  • استفاده از بستر SMS یا USSD به منظور ارسال کلمه عبور
  • سیم کارت ( راهکار همراه اول و آزمایشگاه)
  • برچسب های قابل نصب بر روی سیم کارت
  • توکن های سخت افزاری که خود شامل ۲ بخش عمده می باشند
    • دانگل
    • کارت
آزمایشگاه خدمات ارزش افزوده تلفن همراه دانشگاه صنعتی شریف ۱۳۹۱ - ۱۳۸۷ ©