Chương 2 MỘT SỐ KHÁI NIỆM VỀ OTP CÁC PHƯƠNG PHÁP
2.4. Một số phương pháp sinh OTP
2.4.5. Phương pháp sinh sử dụng Security token
Security token hay thường gọi là OTP Token, là loại khóa hai chiều được dùng phổ biến nhất hiện nay vì giá thành rẻ và dễ dùng. Sau khi người dùng gõ vào và đăng nhập thành công thì mật khẩu này hết hiệu lực (lần đăng nhập sau sẽ dùng mật khẩu khác).
Dựa trên thuật toán sinh OTP, thiết bị OTP có 2 dạng: đồng bộ thời gian và dùng bộ đếm.
+ Loại thiết bị OTP đồng bộ thời gian
Thiết bị sẽ tạo ra mã số khó đoán (mật mã hay khóa) dựa vào đồng hồ trong và mã số này được xác thực với điều kiện đồng hồ trong của thiết bị OTP đồng bộ với máy chủ xác thực. Do sự xê dịch của đồng hồ, việc đồng bộ tuyệt đối thời gian giữa thiết bị OTP và máy chủ là không thể nên máy chủ xác thực phải chấp nhận các khóa có sự sai lệch đôi chút.
+ Loại thiết bị OTP dùng bộ đếm
Thiết bị này tăng bộ đếm mỗi khi sinh ra một khóa mới và khóa này được xác thực với điều kiện bộ đếm trong của thiết bị OTP đồng bộ với máy chủ xác thực. Khác với bộ đếm trong của thiết bị OTP, bộ đếm của máy chủ được điều chỉnh với mỗi xác thực thành công. Với loại này, thiết bị OTP và máy chủ xác thực dễ bị “mất đồng bộ”.
So với thiết bị OTP đồng bộ thời gian, thiết bị OTP dùng bộ đếm kém an toàn hơn trong việc chống lại kiểu tấn công thụ động online và offline. Người tấn công có thể thực hiện tấn công kiểu giả mạo (phishing) và thu thập nhiều khóa để dùng sau đó, hay ai đó lấy được thiết bị này có thể tạo sẵn các khóa mà không hành động ngay.
Một biến thể của thiết bị OTP đó là dùng phần mềm giả lập thiết bị phần cứng, cài trên các thiết bị di động như PDA hay điện thoại di động (ĐTDĐ).
Đây là giải pháp hiệu quả và ít tốn kém, ít nhất cho đến khi các thiết bị di động trở nên dễ bị can thiệp như máy tính và người ta cũng phải cài đặt firewall, trình chống virus, công cụ lọc spam... trên các thiết bị này.
Hình 13: Ứng dụng Mobile OTP - Window Phone 8
Thiết bị OTP mềm trên thiết bị di động có thêm mã PIN bảo vệ gần đạt được độ an toàn như thiết bị OTP phần cứng. Tuy giảm được chi phí phần cứng (thiết bị di động có sẵn) và chi phí phân phối trực tiếp nhưng khi triển khai đại trà có thể phải đối mặt với khó khăn về tính tương thích trong việc cài đặt và vận hành phần mềm do chủng loại điện thoại di động rất đa dạng về phần cứng và nền tảng phần mềm cũng không thống nhất.