Vad är ett engångslösenord (OTP)?
Ett engångslösenord (OTP) är en sträng av bokstäver eller siffror som autentiserar en användare för ett enstaka inloggningsförsök eller en transaktion. En algoritm skapar ett unikt värde för varje engångslösenord genom att ta in sammanhangsbaserad information, till exempel tidsbaserade data eller tidigare inloggningshändelser.
Tekniska supportgrupper delar oftast ut engångslösenord till personer som har glömt sina autentiseringsuppgifter för ett konto eller en webbplats, eller om den aktuella resursen kräver ytterligare skydd mot oönskade åtkomstförsök. Engångslösenord kan också införa ett andra autentiseringslager, som obehöriga användare måste passera innan de kommer åt ett konto.
Vid autentisering av användare behöver företagen hålla tre oberoende faktorer i minnet:
- Kunskap. Saker som användaren vet, såsom ett lösenord, en PIN-kod eller svaret på en säkerhetsfråga.
- Tillhörighet. Saker som användaren har, såsom en token, ett kreditkort eller en telefon.
- Biometri. Saker som unikt identifierar användaren, såsom fingeravtryck eller beteendedata.
Förutom lösenord delar säkerhetsgrupper ofta ut tillhörighetsfaktorer, såsom engångslösenord med hjälp av tokens och telefonmeddelanden – saker som användaren troligen redan har.
Vilka är fördelarna med engångslösenord (OTP)?
Nu när du vet vad engångslösenord är, låt oss undersöka hur de håller företagen säkra.
- Motstånd mot återuppspelningsattacker: Autentisering med engångslösenord ger tydliga fördelar gentemot att enbart använda statiska lösenord. Till skillnad mot traditionella lösenord är engångslösenord inte känsliga för återuppspelningsattacker, där en hackare fångar upp en dataöverföring (till exempel när en användare anger sitt lösenord), spelar in den och använder den för att själv få tillgång till ett system eller konto. När en användare får tillgång till sitt konto med ett engångslösenord blir lösenordet ogiltigt, och kan därför inte återanvändas av hackare.
- Svårt att gissa: Engångslösenord skapas ofta av algoritmer som utnyttjar slumpmässighet. Det gör det svårt för utomstående att lyckas gissa och använda dem. Engångslösenord kan gälla endast under en kort tid, kräva att användaren känner till det tidigare engångslösenordet, eller be användaren svara på något (till exempel ”ange den andra och femte siffran”). Alla dessa åtgärder minskar ytterligare hur en miljö exponeras mot attacker jämfört med autentisering med enbart lösenord.
- Minskad risk om lösenord avslöjas: Användare som inte använder starka lösenordsrutiner har en tendens att återanvända samma autentiseringsuppgifter för olika konton. Om dessa autentiseringsuppgifter läcker ut eller på annat sätt kommer i orätta händer är stulna data och bedrägerier markanta hot mot användaren på alla fronter. Säkerhet med engångslösenord hjälper till att förhindra åtkomstöverträdelser, även om en angripare har fått tag i giltiga autentiseringsuppgifter.
- Enkelt införande: Engångslösenord är också enkla att integrera i organisationernas autentiseringsstrategier. Även om dessa koder är kryptiska och svåra att minnas för användarna kan säkerhetsgrupperna använda och distribuera telefoner, tokens och annan teknik till sina medarbetare.
Vilka typer av engångslösenord finns det?
Autentisering med engångslösenord är möjlig tack vare tokens. Det finns några olika typer som du kan stöta på.
Maskinvarutokens
Maskinvarutokens är fysiska enheter som överför engångslösenord och hjälper användare få tillgång till konton och andra resurser. Maskinvarutokens kan brett indelas i:
- Anslutna tokens: Användare ansluter dessa tokens till det system eller den enhet de försöker komma åt. Smarta kort och USB-enheter sätts in i en enhets smartkortläsare respektive USB-port.
- Frånkopplade tokens: Den vanligaste token för flerfaktorsautentisering (MFA). Eftersom användarna inte behöver fysiskt sätta in frånkopplade tokens genererar dessa oftast engångslösenord som användarna ska ange. Nyckelringar i fickformat, nyckellösa passersystem, mobiltelefoner och bankernas säkerhetsenheter är några exempel på sådana tokens som används.
- Kontaktlösa tokens: Dessa tokens överför autentiseringsuppgifter till ett system som analyserar informationen och avgör om användaren har behörighet. Bluetooth-tokens är ett exempel på kontaktlös överföring, som inte behöver fysisk anslutning eller manuell inmatning.
Programvarutokens
Programvarutokens är inte fysiska enheter som vi äger. De finns i stället som programvara i en enhet, till exempel en bärbar dator eller mobiltelefon. Autentisering med programvarutokens har ofta formen av en app som skickar push-meddelanden eller SMS, som användaren ska reagera på och verifiera sin identitet.
Alla dessa metoder följer samma grundprocess: användaren skickar autentiseringsdata till ett system, systemet verifierar om informationen är korrekt, och ger i så fall användaren auktoriserad åtkomst. Det är samma idé som att använda ett lösenord, men med ett engångslösenord behöver autentiseringsdata inte färdas eller läcka utanför användaren och målsystemet.
Vilka autentiseringsmetoder är bäst?
Alla metoder är inte likadana. Införande av någon form av flerfaktorsautentisering ger en förbättring jämfört med att bara använda lösenord, men varje autentiseringsfaktor ger olika grad av skydd. Vi har några rekommendationer som hjälper dig undvika sårbarheter.
SMS-autentisering kan vara bekvämare, men är mindre säkert
Vi vet från våra dagliga liv hur enkelt det är att kommunicera via SMS. Det är därför naturligt att många företag och tjänsteleverantörer har infört engångslösenord via SMS som en andra form av identitetsverifiering.
Tyvärr är engångslösenord via SMS öppet för flera angreppssätt, bland annat:
- SIM-kortsbyte och hackande: Ditt SIM-kort talar om för telefonen vilken operatör du ska ansluta till, och vilket telefonnummer det är kopplat till. I en attack med SIM-kortsbyte övertygar angripare operatören att byta ditt nummer mot ett SIM-kort som de äger. Resultatet blir att de får tillgång till alla meddelanden med engångslösenord via SMS som synkroniseras med dina konton.
- Kontoövertagande: Många nätoperatörer låter användarna se textmeddelanden i sin webbportal. Om ditt onlinekonto för webbportalen endast är skyddat via ett svagt eller vanligt lösenord kan en angripare knäcka kontot och få tillgång till alla SMS med engångslösenord.
- Förlorade och synkroniserade enheter: I teorin kan du inte få tillgång till SMS med engångslösenord om du förlorar din telefon. Nu kan vi dock synkronisera meddelanden mellan olika enheter, vilket gör att vi kan autentisera via SMS-engångslösenord och komma åt konton även utan telefonen. Vidarebefordran av känsliga meddelanden på detta sätt är inte en stark säkerhetsrutin, särskilt inte om ditt e-postkonto har ett lösenord som går att gissa.
- Nätfiske: I en social manipulationsattack lurar en angripare, som uppträder som en anställd från en pålitlig tjänst, dig att överlämna dina autentiseringsuppgifter till ett konto samt ditt SMS-engångslösenord. Nätfiskeattacker består i att hackare utnyttjar användarnas känslor eller brist på kunskap, vilket kan resultera i att SMS-engångslösenord läcker ut på samma sätt som ett vanligt lösenord.
Vartefter som fler företag anpassar sig till arbete på distans använder de anställda allt mer sina mobila enheter för att få tillgång till programvara i arbetet. Titta på vår rapport Businesses @ Work (hemifrån) för fler insikter i hur detta påverkar säkerhetsrutiner.
Säkerhetstokens för engångslösenord har sina för- och nackdelar
Maskinvarutokens, som exempelvis RSA SecureID, är definitivt en uppgradering jämfört med SMS-baserade engångslösenord. De förlitar sig på något som användaren har i sin ägo, vilket gör dem svårare att utnyttja än kunskapsbaserad autentisering. Dessutom använder en enhet för engångslösenord, såsom säkerhetsnycklar, asymmetriska krypteringsalgoritmer för att säkerställa att engångslösenordet aldrig lämnar token, vilket i praktiken innebär att det inte kan läcka ut.
Men maskinvarutokens materiella natur motarbetar dem också. Användarna måste bära med sig ännu en enhet som kan tappas bort, skadas eller stjälas. Det gör att tokens för engångslösenord är en utmaning för IT att underhålla, särskilt i stora organisationer, och kan äventyra säkerheten om de hamnar i fel händer.
Dessutom kan tokens som måste anslutas fysiskt till en enhet inte alltid användas. USB-enheter, såsom U2F-nycklar, är till exempel ingen praktisk lösning för att säkra mobila enheter som inte har USB-portar.
Autentiseringsappar är ett starkt alternativ
- Mobila autentiserare såsom Okta Verify, Authy eller Google Authenticator verifierar användare genom att skicka engångslösenord och push-meddelanden till användarens app. Autentiseringsappar är säkrare än ovanstående metoder av ett antal orsaker:
- Mobila engångslösenord är inte beroende av internetåtkomst, din plats eller säkerheten hos din operatör. Engångslösenord och push-meddelanden är bundna till din enhet i stället för ditt telefonnummer, och de fungerar i allmänhet utan nätverkstjänst eller data.
- Mobila engångslösenord är oftast en kostnadsfri funktion inbyggd i många autentiseringsappar, vilket betyder att de är enkla att använda i företagssammanhang eller enskilda sammanhang.
- Push-meddelanden och mobila engångslösenord upphör snabbt att gälla, vilket minskar risken för obehörigt utnyttjande jämfört med SMS-engångslösenord.
- Vissa autentiseringsappar har stöd för biometri, till exempel ansikts- eller fingeravtrycksidentifiering. Detta ger ett starkare skyddslager: även om din telefon blir stulen kan ingen annan än du ta emot push-meddelanden till enheten.
WebAuthn skyddar ännu fler enheter
WebAuthn är ett webbläsarbaserat API som använder registrerade enheter (stationära eller mobila) som autentiseringsfaktorer. Biometriska autentiserare som är inbyggda i enheter (till exempel Windows Hello, Fingerprint i Android, Touch ID i iOS) har alla stöd för WebAuthn, liksom bärbara enheter såsom Yubikey 5Ci.
WebAuthn har några unika fördelar:
- Tack vare kryptering med publik nyckel skyddar den effektivt mot nätfiskeattacker.
- Integrering med användarnas enheter samt biometri skapar snabba och enkla inloggningsupplevelser.
- Google Chrome, Microsoft Edge och Firefox fungerar alla med biometriska enheter för att aktivera WebAuthn, vilket gör den tillgänglig.
I slutändan rekommenderar vi att implementera mobila autentiseringsappar och WebAuthn, samt att använda andra metoder för engångslösenord som backup.
Läs mer
Det finns många olika autentiseringsalternativ för att hålla dina konton säkra. Du hittar en jämförelse mellan dem i vårt datablad över faktorer och säkerhet.