Mã OTP là gì? Ứng dụng của mã bảo mật OTP trong cuộc sống hiện nay

1. Câu trả lời chuẩn xác nhất cho OTP là gì?

OTP là viết tắt của One - Time Password, có nghĩa là mật khẩu một lần. OTP được coi là lớp bảo mật thứ 2 của các ngân hàng hiện nay, mã OTP se được gửi tới đúng số điện thoại hoặc thiết bị đăng ký mỗi khi có giao dịch phát sinh.

Mật khẩu một lần (OTP) có thể bảo vệ hoàn toàn cơ chế xác thực thời gian đăng nhập khỏi các cuộc tấn công của bên ngoài. Nó được xem là một phương pháp bảo mật đơn giản hiệu quả tạo ra một mật mã duy nhất cho mỗi lần sử dụng. Thông qua việc sử dụng các phép tính cả dấu thời gian và số thứ tự để cung cấp một mã OTP duy nhất tại thời điểm đó. Một nguyên mẫu xác thực hai yếu tố cho điện thoại di động sử dụng phương pháp này đã được phát triển và đã được sử dụng trong thực tế trong một năm.

Mật khẩu dùng một lần (OTP) có thể hoạt động để tăng cường ID người dùng và mật khẩu hiện có với một lớp xác thực bổ sung để tăng cường bảo mật cho tất cả các ứng dụng đã xác thực. Lý do là nếu mật khẩu bị xâm phạm, thì vẫn phải cần mật khẩu OTP đó để có quyền truy cập. Loại xác thực này được gọi là xác thực hai yếu tố, hay xác thực mạnh hơn.

Các ứng dụng xác thực ngày càng tăng và các cuộc tấn công ngày càng gia tăng đang thúc đẩy công nghệ OTP. Ý tưởng về OTP lần đầu tiên được đề xuất bởi Leslie Lamport vào đầu những năm 1980. Ngày nay, có rất nhiều mã thông báo OTP đã được cấp bằng sáng chế bảo mật trên thế giới.

Phương thức phân phối mã OTP có thể là mã thông báo độc quyền, thông qua điện thoại di động, trên giấy hoặc cách tiếp cận dựa trên web. Một số tiêu chuẩn đã được phát triển để tạo điều kiện thuận lợi cho việc áp dụng xác thực OTP bằng cách cho phép khả năng tương tác giữa các triển khai thương mại và mã nguồn mở để có trải nghiệm người dùng tốt hơn.

Bước đầu tiên của công nghệ OTP là tính toán OTP, là thuật toán tạo ra một mật mã duy nhất cho mỗi lần xác thực.

Đọc thêm: Quét mã qr là gì? Hướng dẫn cách quét mã QR chuyên nghiệp

2. Phương pháp tính toán của mật khẩu một lần OTP

Tính toán OTP tập trung vào việc người xác nhận quyền sở hữu tạo một mật mã mới, duy nhất cho người xác minh cho mọi lần xác thực. Ý tưởng về OTP lần đầu tiên được đề xuất bởi Leslie Lamport vào đầu những năm 1980. Trong lược đồ của Lamport, người dùng bắt đầu bằng chữ w bí mật và một hằng số t, xác định số lượng nhận dạng được phép. Hàm một chiều (OWF) H được sử dụng để xác định chuỗi mật khẩu: w0 = Ht (w), Ht-1 (w), Ht-2 (w), ..., Ht-i (w). Mật khẩu cho phiên nhận dạng thứ i, 1 i t, được xác định là wi = Ht i (w).

Một nhược điểm của nó là chi phí tính toán cao của nguyên đơn. Yêu cầu tính toán cao này làm cho chương trình không phù hợp với các thiết bị có tài nguyên hạn chế, ví dụ: điện thoại di động. RSA đã được cấp bằng sáng chế cho mã thông báo Secur, có thể là phần cứng hoặc phần mềm và tạo OTP sau mỗi 60 giây dưới dạng đầu ra của một phép toán. 

Tính toán OTP chỉ sử dụng số thứ tự không đảm bảo rằng người xác minh sẽ có thể phát hiện các cuộc tấn công trì hoãn bắt buộc.

Trong nguyên mẫu OTP dành cho điện thoại di động, trước tiên nó sẽ tính toán OTP dựa trên tem thời gian để tránh chi phí tính toán cao cho phía nguyên đơn như trong kế hoạch của Lamport và để phát hiện các cuộc tấn công bắt buộc phải trì hoãn.

Tham khảo: Việc làm ngân hàng lương cao hấp dẫn, xem ngay kẻo lỡ!

3. Mã OTP và những ứng dụng hữu ích trong cuộc sống

Dựa trên tính toán OTP của tôi đã phát triển một nguyên mẫu xác thực hai yếu tố TSOTP. Việc tính toán OTP của nguyên đơn được thực hiện trên điện thoại di động. Các hoạt động liên quan chính được mô tả ở đây.

3.1. Bước 1: Xác thực thông tin

Xác thực là việc người xác nhận quyền sở hữu “chứng minh” danh tính của mình cho người xác minh bằng cách cung cấp tính duy nhất hoặc đảm bảo tính kịp thời đối với kiến ​​thức về một bí mật được biết là có liên quan đến chính nó trong giao thức xác thực.

Để tạo bí mật được chia sẻ trong hệ thống xác thực OTP, người ta đã xem xét giao thức phản hồi - thử thách sau thông qua kênh giao tiếp SSL:

- Người yêu cầu đăng ký TokenID của mình cho người xác minh: V; TokenID;

- Người xác minh tạo ra một giá trị gốc ngẫu nhiên cho nguyên đơn; C: Act = ERandomseed (TokenID); 1 C 2 V 3; Nonce0 = tem thời gian0 || số thứ tự 0; C V: Sk = EAct (Nonce0).

Sau đó, SK mật khẩu được chia sẻ có nguồn gốc được giữ giải mã ở cả hai phía để truyền OTP tiếp theo mà không cần thông qua kênh SLL.

3.2. Bước 2: Người xác nhận quyền sở hữu: tạo OTP

OTP của có độ dài là chuỗi 64 bit, được hiển thị dưới dạng 8 chữ số thập phân.  Các cuộc tấn công vũ phu có thể thành công với xác suất gần 10 ^ -8. Người ta tin rằng độ dài này đủ dài để an toàn và đủ ngắn để người dùng nhập thủ công khi cần thiết.

- Bước 1: Tính toán Nonce dựa trên cả dấu thời gian và số thứ tự: Nonce = dấu thời gian || số thứ tự

- Bước 2: Mã hóa Nonce để đảm bảo tính toàn vẹn của nó bằng thuật toán AES: HA = ESk (Nonce). Người xác nhận quyền sở hữu tính toán giá trị ban đầu Nonce0 bằng cách nối nhãn thời gian và số thứ tự, đồng thời mã hóa Nonce0 bằng AES để tạo thành Sk bí mật được chia sẻ, trả lại Sk cho người xác minh.

- Bước 3: Tạo chuỗi 8 byte OTP theo DT (Cắt ngắn động): OTP = DT (HA) // OTP là một chuỗi, được hiển thị dưới dạng 8 chữ số thập phân.

3.3. Bước 3: Người xác minh: xác thực OTP

Người xác minh ban đầu được cung cấp Nonce0 và Sk trong quá trình chuẩn bị. Mỗi lần xác thực, người xác minh sẽ tính toán các OTP theo cùng một phương pháp với người xác nhận quyền sở hữu, với dấu thời gian và số thứ tự khác nhau trong các cửa sổ chấp nhận. Nếu OTP từ người xác nhận quyền sở hữu khớp với bất kỳ OTP nào của người xác minh, thì OTP đó được chấp nhận là hợp lệ. 

Trong trường hợp này, trình xác minh cập nhật dấu thời gian và giá trị số thứ tự của nó. Nếu không có kết quả phù hợp, người xác minh sẽ thử các cửa sổ gửi lại xác thực OTP để có thêm khả năng sử dụng. Đối với OTP trong cửa sổ gửi lại, người xác minh yêu cầu người xác nhận quyền sở hữu gửi lại hai OTP liên tiếp. 

4. Ý nghĩa của mã OTP và những ứng dụng cho tương lai

Bảo mật thông tin và phòng chống những tấn công là vai trò quan trọng của mã OTP. Một cuộc tấn công phát lại là một loại mạo danh hoặc lừa dối khác liên quan đến việc sử dụng thông tin từ một thực thi giao thức trước đó, trên cùng một hoặc một trình xác minh khác. Sự trì hoãn bắt buộc xảy ra khi một đối thủ chặn một thông điệp và chuyển tiếp nó vào một thời điểm nào đó sau đó.

Không giống như lược đồ mật khẩu cố định, hệ thống mật khẩu dùng một lần ngăn chặn các cuộc tấn công phát lại. Trong hệ thống xác thực OTP như vậy, giá trị OTP bằng cách nhập bằng bàn phím và qua mạng chỉ được sử dụng một lần, vì vậy các cuộc tấn công phát lại - cho dù là lướt qua hay, ghi nhật ký bàn phím hay nghe trộm mạng - đều trở nên vô dụng. Dấu thời gian, cũng được sử dụng trong hệ thống của chúng tôi, cho phép phát hiện các cuộc tấn công trì hoãn bắt buộc.

Ngoài ra, mã OTP còn những điểm cộng vô cùng quan trọng khác đó là:

Dễ sử dụng: Nguyên mẫu xác thực OTP dành cho điện thoại di động của chúng tôi có ưu điểm là trao đổi tin nhắn xác thực một lần đơn giản, không cần bên thứ ba, chi phí tính toán thấp và chi phí tài chính thấp hơn so với mã thông báo độc quyền.

Mật khẩu một lần là công nghệ hàng đầu trong Hệ thống xác thực hai yếu tố ngày nay cho các ứng dụng an toàn hơn. Bảo mật bằng phương pháp OTP đơn giản và hiệu quả tạo ra một mật mã duy nhất để sử dụng một lần. Việc tính toán dựa trên cả dấu thời gian và số thứ tự. Việc triển khai có lợi thế là trao đổi tin nhắn xác thực một lần đơn giản, không cần bên thứ ba, chi phí tính toán thấp và không có chi phí cho các mã thông báo độc quyền.

Tuy nhiên, việc sử dụng điện thoại di động làm trình tạo OTP có các lỗ hổng đối với các cuộc tấn công theo dõi bàn phím, cuộc tấn công quét bộ nhớ và cuộc tấn công sao chép phần mềm. Chúng tôi sẽ cố gắng chống lại những mối đe dọa này trong nghiên cứu trong tương lai.

Trên đây là trọn bộ thông tin về mật khẩu một lần OTP cho bạn, hy vọng rằng, thông qua bài viết này bạn đã nắm được OTP là gì cùng những thông tin hữu ích khác cho mình.