Одноразовые пароли и их надежность

Защита сайтов и сервисов в настоящее время является достаточно важной задачей. Поэтому развиваются разнообразные технологии, повышающие их защиту.

Относительно новым способом обеспечения дополнительного уровня защиты сайта является использование одноразовых паролей. Они генерируются с помощью специальной программы – генератора паролей. В результате в дополнение к обычному паролю, дающему доступ к особому интерфейсу веб-сайта, используется уникальный одноразовый код.

Преимущества заключаются в следующем. Если обычный пароль будет украден злоумышленниками при дистанционном прослушивании трафика либо иным способом, то похититель все равно не сможет получить доступ к сайту, т.к. у него нет набора одноразовых паролей. Даже если одноразовый пароль будет похищен во время его ввода пользователем, то второй раз он уже не сработает. Т.е. злоумышленнику, чтобы взломать такой сайт, нужно выкрасть генерирующее устройство.

Однако достаточно часто бывает, что пароли крадутся не с помощью прослушивания сетевого трафика, а с использованием внедренной на компьютер администратора или пользователя веб-сайта шпионской программы (кейлогера). Эта программа считывает пароль в момент ввода с клавиатуры или находит его в определенных файлах на диске, после чего передает данные злоумышленнику.

Шпионская программа может перехватить одноразовый пароль наравне с многоразовым в момент ввода с клавиатуры. При этом взломщик успевает опередить настоящего владельца одноразового пароля при доступе к сайту. С помощью той же программы шпиона или особенностей работы Интернет (например, DNS) он перенаправляет трафик, имитируя сбои при доступе к страницам веб-сайта и заставляя жертву ввести дополнительные одноразовые пароли.

Одноразовые пароли конечно же повышают защищенность сайта, однако не гарантируют ее, поэтому не стоит забывать о других мерах безопасности.