OTP drošības trūkumi un to risinājumi

Abstract

Vienreizēja parole (angl. One Time Password, jeb OTP) ir populārs autentifikācijas veids, ko izmanto kā daudzfaktoru autentifikācijas sastāvdaļu. OTP autentifikācijas sistēmām ir zināmi trūkumi, un vairāki no tiem jau ir atrisināti dažādās autentifikācijas sistēmās. Tomēr pastāv uzbrukuma veids, kas vēl nav pilnībā atrisināts: vienreizējo paroļu pikšķerēšana. Pētījuma mērķis ir analizēt uzbrukuma vektorus pret OTP sistēmām, to drošības trūkumus un iespējamos risinājumus, kā arī izstrādāt vienreizējo paroļu autentifikācijas sistēmas prototipu, kas aizsargā lietotājus no OTP pikšķerēšanas uzbrukumiem. Pētījuma ietvaros ir izstrādāta autentifikācijas sistēmas arhitektūra, veikta piedāvātās koncepcijas ierobežojumu analīze, sistēmas prototipa izstrāde un testēšana, kā arī piedāvātās sistēmas potenciālo lietotāju anketēšana.

One Time Passwort (OTP) is a popular authentication mechanism used as part of multifactor authentication. OTP authentication systems have known security issues, many of which have already been fixed in existing implementations. However, one attack vector remains unresolved: OTP phishing. The goal of this research is to analyze possible attack vectors on OTP systems, identify their security issues, and explore potential solutions, as well as develop OTP authentication system prototype to protect users from OTP phishing attacks. The research includes the development of the authentication system’s architecture, analysis of the proposed concept limitations, implementation and testing of the system prototype, and a survey of potential system users.