Система одноразовых паролей

Урок 151 из 267
Автор: Анна Кокина
Сложность урока:
2 уровень - несложные понятия и действия, но не расслабляйтесь.
2 из 5
Просмотров: 1020
Ограничения по редакциям: Старт

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности продуктов «1С-Битрикс».

Одноразовый пароль (англ. one time password, OTP) — это пароль, действительный только для одного сеанса аутентификации. Действие одноразового пароля также может быть ограничено определенным промежутком времени. Преимущество одноразового пароля по сравнению со статическим в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе.

При каждой авторизации пользователь получает новый секретный код, что исключает возможность его получения злоумышленниками. При включении системы OTP в продукте «1C-Битрикс» можно авторизоваться только с использованием дополнительного одноразового пароля.

В продуктах «1C-Битрикс» поддерживаются два алгоритма генерации одноразовых паролей:

  • по счетчику ( HMAC-Based One-time Password, HOTP HOTP (англ. HMAC-Based One-Time Password Algorithm) — алгоритм защищённой аутентификации с использованием одноразового пароля (One Time Password, OTP). Основан на HMAC (SHA-1). Является алгоритмом односторонней аутентификации, а именно: сервер производит аутентификацию клиента.

    В качестве параметра, отвечающего за динамику генерации паролей, используется событие, то есть сам факт генерации: каждый раз при создании нового пароля счётчик событий увеличивает своё значение на единицу, и именно это монотонное возрастающее значение используется как основной параметр алгоритма.

    Вторым параметром для расчёта одноразовых паролей является симметричный ключ, который должен быть уникальным для каждого генератора (клиента) и закрытым от всех, кроме сервера и самого генератора (клиента).
    Подробнее...
    ) - код будет доступен до тех пор, пока пользователь не запросит новый;
  • по времени ( Time-based One-time Password, TOTP TOTP (англ. Time-based One-Time Password Algorithm) — OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm).

    Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента.

    Главное отличие TOTP от HOTP это генерация пароля на основе времени, то есть время является параметром. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 секунд).
    Подробнее...
    ) - код будет доступен в течение 30 секунд с момента его получения, после чего он автоматически обновится.

Внимание! Все коды доступа являются одноразовыми, повторное их использование для авторизации невозможно.

Краткое описание технологии

Примечание:

Количество действующих кодов авторизации по счетчику после предыдущей успешной авторизации ограничивается параметром Размер окна проверки паролей.

Если на устройстве была нажата кнопка несколько раз (например, случайно), но не было выполнено ни одной
удачной аутентификации, то при превышении числа нажатий значения, заданного в этом параметре, произойдет
нарушение синхронизации счетчика генерации, и пользователь не сможет выполнить вход на сайт.
Подробнее...

Количество действующих кодов авторизации по времени ограничивается временным интервалом 1 минута в обе стороны (по 2 кода, которые действительны 30 секунд).

Документация по теме:


Курсы разработаны в компании «1С-Битрикс»
Спасибо, мы рады что смогли помочь Вам. Ниже Вы можете оставить свой отзыв или пожелание :)
Нам жаль это слышать… Но мы постараемся быть лучше! Поясните, пожалуйста, свой выбор:

Мы благодарны Вам за помощь в улучшении документации.

Мы стараемся сделать документацию понятнее и доступнее,
и Ваше мнение важно для нас