İçeriğe atla

Zaman tabanlı tek seferlik parola algoritması

Zaman tabanlı tek seferlik parola algoritması (TOTP), üretildiği zaman aralığının benzersizliğini alarak, tek seferlik parola üreten bir HMAC Tabanlı Bir-Zamanlı Parola algoritmasının (HOTP) uzantısıdır. İnternet Mühendisliği Görev Gücü standardı RFC 6238 olarak kabul edilmiştir.[1] Açık Kimlik Doğrulama Girişiminin (OATH) temel taşıdır ve iki faktörlü kimlik doğrulama sistemlerinde kullanılır.

Ağ ya da insan kaynaklı gecikme veya senkronize edilmemiş saatler nedeniyle, tek seferlik parola, kimlik doğrulayıcı ile kimliği doğrulanacak taraf arasında bir süre boyunca aktif olmalıdır. Burada, taraflar arasında geçerliliği sağlamak için zaman daha büyük sürelere (örneğin, 30 saniye) düşürülür. Bununla birlikte, HOTP'de olduğu gibi, azalan benzersizlik, oran sınırlaması gibi ek önlemler gerektirir.

Algoritma

TOTP kimlik doğrulaması oluşturmak için kimliği doğrulanacak taraf ve kimlik doğrulayıcı hem HOTP parametrelerini hem de aşağıdaki TOTP parametrelerini önceden belirlemelidir:

  • T0, zaman adımlarını saymaya başlamak için kullanılan Unix zamanı (varsayılan 0'dır)
  • Tx, sayaç CT değerini hesaplamak için kullanılacak bir zaman aralığı (varsayılan 30 saniyedir)

Hem kimlik doğrulayıcı hem de kimliği doğrulanacak taraf, TOTP değerini hesaplar, ardından kimlik doğrulayıcı, kimliği doğrulanacak tarafından sağlanan TOTP değeriyle, yerel olarak üretilen TOTP değerinin aynı olup olmadığını kontrol eder. Bazı kimlik doğrulayıcılar, saatteki sapma, ağ gecikmesi veya kullanıcı gecikmelerinin hesaba katılması için mevcut saatten önce veya sonra üretilmiş olması gereken değerlere izin verir.

TOTP değeri

TOTP, HOTP algoritmasını kullanarak sayacı geçerli zamana göre azalan olmayan bir değerle değiştirir.

TOTP   değer (K) = HOTP   değer (K, CT)

Zaman sayacı, CT, tam sayı cinsinden olacak şekilde süre sayar. Tx, Unix zaman, T'yi temel alan bir değerdir. T0 bir Unix dönemidir (epoch). Diğer değerler, tam sayı saniye cinsindendir.

Unix zamanının, özellikle artık saniye UTC'ye eklendiği durumlar başta olmak üzere, monotonik olmadığını unutmayın.

Pratik düşünceler

Kimlik doğrulama işlemlerinin çalışması için kimliği doğrulanacak taraf ve kimlik doğrulayıcının saatlerinin kabaca senkronize edilmesi gerekir (kimlik doğrulayıcı tipik olarak kimliği doğrulanacak kişinin zaman bilgisinden ± 1 zaman aralığında farklılık gösteren zaman bilgisiyle oluşturulan tek seferlik parolaları kabul eder).

Zayıf yönleri ve güvenlik açıkları

TOTP değerleri, diğer parolaların çalınabildiği gibi çalınabilir. Ancak, saldırganların kimlik bilgilerini sonradan toplamak yerine, gerçek zamanlı olarak vekil sunucuya ihtiyaçları vardır.

Oturum açma girişimlerini sınırlamayan uygulamalar, değerlerin kaba kuvvet yöntemiyle çalınmasına açık kapı bırakır.

Paylaşılan bilgiyi çalan bir saldırgan, ilerisi için yeni ve geçerli bir TOTP değeri üretebilir. Saldırgan büyük bir kimlik doğrulama veritabanını ihlal ederse, bu ciddi bir problem olabilir.[2]

TOTP aygıtlarının pillerinin tükenmesi, senkronizasyonun bozulmasına neden olabileceği veya TOTP yazılımlarının bulunduğu telefonların çalınma ya da kaybolabilme durumu olabileceği için, tüm gerçek dünyadaki uygulamaların korumayı atlatma/iptal etme yöntemleri vardır (örneğin: basılı kodlar, e-posta sıfırlama yöntemi vs.). Bu, hatırı sayılır bir destek yüküne neden olabilir ve sahte kullanıcılara yararlanabilecekleri ek yollar sunar.

TOTP değerleri ekranda gösterdikleri süreden daha uzun süre geçerlidir (genellikle iki katı). Bu, kimliği doğrulayan ve kimliği doğrulanacak tarafların saatlerinin arasında büyük bir fark olabileceği durumlar için bir imtiyazdır.

Tüm tek seferlik parola tabanlı kimlik doğrulama şemaları (diğerlerinin yanı sıra TOTP ve HOTP dahil olmak üzere), yine de ele geçirilebilir, yani bir saldırgan, oturum açtıktan sonra kullanıcının oturumunu yönetebilir.

Tarihçe

Endüstri destekli bir standart oluşturmak için birkaç OATH üyesinin işbirliği ile bir TOTP taslağı geliştirilmiştir. Bu standart, etkinlik tabanlı tek seferlik standart HOTP'yi tamamlar ve son kullanıcı kurum ve kuruluşlarına uygulama gereksinimlerine ve güvenlik yönergelerine en uygun teknolojileri seçmede daha fazla seçenek sunar. 2008 yılında, OATH, şartnamenin taslak bir versiyonunu IETF'ye sunmuştur. Bu sürüm, yazarların IETF'ye sunulan önceki sürümlere dayanarak teknik topluluktan aldığı tüm geri bildirimleri ve yorumları içerir.[3] Mayıs 2011'de, TOTP resmen RFC 6238 standardı olmuştur.[1]

Kaynakça

  1. ^ a b Boş kaynak (yardım) 
  2. ^ 12 Kasım 2020 tarihinde Wayback Machine sitesinde [https://web.archive.org/web/20201112032021/https://www.wired.com/2011/06/rsa-replaces-securid-tokens/ arşivlendi.]]
  3. ^ "Arşivlenmiş kopya". 23 Ocak 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Nisan 2019. 

Dış bağlantılar

İlgili Araştırma Makaleleri

Basit Ağ Yönetim Protokolü, bilgisayar ağları büyüdükçe bu ağlar üzerindeki birimleri denetlemek amacıyla tasarlanmıştır. Cihaz üzerindeki sıcaklıktan, cihaza bağlı kullanıcılara, internet bağlantı hızından sistem çalışma süresine kadar çeşitli bilgiler SNMP'de tanımlanmış ağaç yapısı içinde tutulurlar.

Basit Hizmet Algılama Protokolü (SSDP) Basit Hizmet Keşif Protokolü (SSDP), ağ hizmetlerinin ve durum bilgilerinin tanıtılması ve keşfedilmesi için İnternet protokol takımına dayalı bir ağ protokolüdür. Bunu, Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) veya Etki Alanı Adı Sistemi (DNS) gibi sunucu tabanlı yapılandırma mekanizmalarının yardımı olmadan ve bir ağ ana bilgisayarının özel statik yapılandırması olmadan gerçekleştirir. SSDP, Evrensel Tak ve Kullan (UPnP) keşif protokolünün temelidir ve konut veya küçük ofis ortamlarında kullanım için tasarlanmıştır. Resmi olarak Microsoft tarafından bir IETF İnternet Taslağı'nda tanımlanmıştır.ve Hewlett-Packard 1999'da. IETF önerisinin süresi o zamandan beri dolmuş olmasına rağmen SSDP, UPnP protokol yığınına dahil edildi ve nihai uygulamanın bir açıklaması, UPnP standartları belgelerine dahil edildi.

<span class="mw-page-title-main">Kerberos (iletişim kuralı)</span>

Kerberos / kərbərəs / güvenli olmayan bir ağ üzerinde haberleşen kaynakların, bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

İnternet Protokolü Güvenliği (IPsec), Internet Protokolü (IP) kullanılarak sağlanan iletişimlerde her paket için doğrulama ve şifreleme kullanarak koruma sağlayan bir protokol paketidir. IPsec, içinde bulundurduğu protokoller sayesinde, oturum başlarken karşılıklı doğrulama ve oturum sırasında anahtar değişimlerini gerçekleştirme yetkisine sahiptir. İki bilgisayar arasında (host-to-host), iki güvenlik kapısı arasında(network-to-network), bir güvenlik kapısı ve bir bilgisayar arasında(network-to-host) sağlanan bağlantıdaki veri akışını korumak için kullanılır. IPsec kriptografik güvenlik servislerini kullanarak IP protokolü ile gerçekleştirilen bağlantıları korumak için kullanılır. Ağ seviyesinde doğrulama veri kaynağı doğrulama,veri bütünlüğü, şifreleme ve replay saldırılarına karşı koruma görevlerini üstlenir.

İnternet anahtar değişim protokolü ya da Internet Key Exchange internet üzerinde güvenli bir şekilde veri alışverişi için kullanılan anahtarların değişimini sağlayan protokoldür.

Kriptografide çalışma kipleri, bir blok şifrenin tek bir anahtar altında güvenli bir şekilde tekrarlı kullanımına olanak veren yöntemlerdir. Değişken uzunluktaki mesajları işlemek için veriler ayrı parçalara bölünmelidir. Son parça şifrenin blok uzunluğuna uyacak şekilde uygun bir tamamlama şeması ile uzatılmalıdır. Bir çalışma kipi bu bloklardan her birini şifreleme şeklini tanımlar ve genellikle bunu yapmak için ilklendirme vektörü (IV) olarak adlandırılan rastgele oluşturulmuş fazladan bir değer kullanır.

<span class="mw-page-title-main">Kriptografik özet fonksiyonu</span>

Kriptografik özet fonksiyonu çeşitli güvenlik özelliklerini sağlayan bir özet fonksiyonudur. Veriyi belirli uzunlukta bir bit dizisine, (kriptografik) özet değerine, dönüştürür. Bu dönüşüm öyle olmalıdır ki verideki herhangi bir değişiklik özet değerini değiştirmelidir. Özetlenecek veri mesaj, özet değeri ise mesaj özeti veya kısaca özet olarak da adlandırılır.

<span class="mw-page-title-main">IEEE 802.1X</span>

IEEE 802.1x, bağlantı noktası tabanlı ağ erişim kontrolü için kullanılan bir standarttır ve 802.1 protokol grubunun bir parçasıdır. Bir kablolu (LAN) veya kablosuz (WLAN) ağa dahil olmak isteyen istemci cihazlara kimlik doğrulama mekanizması sağlar.

Bilgisayar güvenliğinde, meydan okuma – karşılık verme temelli kimlik doğrulama, bir tarafın soru sorduğu ve diğer tarafın da, kimlik doğrulama için, bu soruya geçerli bir cevap (karşılık) üretmek zorunda olduğu bir protokol ailesidir.

Güvenli kabuk,, ağ hizmetlerinin güvenli olmayan bir ağ üzerinde güvenli şekilde çalıştırılması için kullanılan bir kriptografik ağ protokolüdür. En iyi bilinen örnek uygulaması bilgisayar sistemlerine uzaktan oturum açmak için olandır.

<span class="mw-page-title-main">Tek seferlik parola</span>

Tek seferlik parola (OTP), bir bilgisayar sistemi veya başka bir dijital cihazda bir oturum ya da işlem için geçerli paroladır. OTP 'de geleneksel (statik) parola tabanlı kimlik doğrulamasıyla ilişkili birtakım eksiklikler yoktur. Ayrıca bir dizi uygulama sayesinde OTP, akıllı kart veya bir cep telefonu gibi bir kişide bulunabilecek cihazlara erişim gerektiren veya yalnız o kişinin bilebileceği bir PIN gerektiren iki faktörlü kimlik doğrulama içerir.

Tekrarlama saldırısı, geçerli bir veri iletiminin kötü niyetlilik veya sahtekarlıkla tekrarlandığı veya geciktirildiği bir ağ saldırısıdır. Bu saldırı, orijinal veri iletimcisi tarafından ya da veri iletimini IP paketi değişimi içeren bir aldatma saldırısı kullanarak kesen ve yeniden ileten bir saldırgan tarafından gerçekleştirilir. Bu, ortadaki adam saldırısının alt kademe versiyonlarından biridir.

Çok faktörlü kimlik doğrulma (MFA) bir bilgisayar kullanıcısına, kullanıcının kimlik doğrulama mekanizmasına başarılı bir şekilde iki ya da daha fazla kanıt sağladığında erişim sağlandığı bir kimlik doğrulama yöntemidir: bilgi, sahiplik ve devralma.

SPEKE, açılımı Basit Parola Üssel Anahtar Değişimi olan, parola doğrulamalı anahtar anlaşmas için kullanılan kriptografik bir yöntemdir.

Kriptografide, scrypt, Colin Percival tarafından Tarsnap çevrimiçi yedekleme hizmeti için oluşturulan bir parola tabanlı anahtar türetme fonksiyonudur. Bu algoritma, büyük miktarda bellek gerektirerek büyük ölçekli özel donanım saldırılarını gerçekleştirmeyi pahalı hale getirmek için özel olarak tasarlanmıştır. 2016 yılında, scrypt algoritması IETF tarafından RFC 7914 olarak yayınlandı. Scrypt algoritmasının, ArtForz kullanıcı adına sahip ve gerçek adı bilinmeyen bir programcı tarafından implemente edilmiş, basitleştirilmiş bir sürümü, önce Tenebrix'te ve ardından Fairbrix ve Litecoin olmak üzere bir dizi kripto para birimi tarafından iş kanıtı şeması olarak kullanıldı.

HMAC Tabanlı Tek Seferlik Parola algoritması (HOTP), özet-tabanlı mesaj doğrulama kodlarına (HMAC) dayanan tek seferlik parola (OTP) algoritmasıdır. Açık Kimlik Doğrulama Girişiminin (OATH) bir temel taşıdır.

<span class="mw-page-title-main">Anahtar türetme fonksiyonu</span>

Kriptografide, anahtar türetme fonksiyonu (ATF), bir veya daha fazla gizli anahtarı, ana anahtar, parola veya geçit parolası gibi unsurlardan bir sözderastlantısal fonksiyon kullanarak türetir. ATF'ler, anahtarlar boyutlarını uzatmak veya belirli formatlarda anahtarlar elde etmek için kullanılabilirler. Diffie-Hellman anahtar değişimi sonucunda oluşacak bir grup unsurların, AES'in kullanılabileceği bir simetrik anahtara dönüştürülmesi bu kullanıma örnek olarak gösterilebilir. Anahtar kullanılan kriptografik özet fonksiyonları, anahtar türetme için kullanılan sözderastlantısal fonksiyonların popüler örneklerinden biridir.

<span class="mw-page-title-main">İnternet güvenliği</span>

Internet güvenliği, yalnızca Internet, sıkça tarayıcı güvenliği ve World Wide Web ile ilgili değil, aynı zamanda Ağ Güvenliği, uygulama ve işletim sistemleri sistemleri ile bir bütün olarak ilgilidir. Amacı, internet üzerinden saldırılara karşı kullanılacak kurallar ve önlemler oluşturmaktır. İnternet, bilgi alışverişi için güvenli olmayan bir kanalı temsil eder; bu da kimlik avı, çevrimiçi virüsler, truva atları, solucanlar ve daha fazlası gibi yüksek bir saldırı veya dolandırıcılık riskine yol açar.

Tek kişilik oturum açma, bir kimlik doğrulama düzenidir. Kullanıcının bağımsız yazılım sistemlerinden herhangi birine tek bir kimlik ve parola ile oturum açmasına olanak tanır. Genellikle Basit Dizin Erişim Protokolü (LDAP) ve depolanan LDAP veritabanları dizin sunucularında gerçekleştirilir.

<span class="mw-page-title-main">WebAuthn</span> Açık anahtar kimlik doğrulama standardı

WebAuthn World Wide Web Consortium (W3C) tarafından yayımlanan bir web standardıdır. WebAuthn, FIDO Alliance kılavuzluğunda FIDO2 Project'in temel bir bileşenidir. Projenin amacı, açık anahtarlı şifrelemesi kullanarak kullanıcıları web tabanlı uygulamalara ve hizmetlere doğrulamak için bir arabirimi standartlaştırmaktır.


Bu sayfa, bu Vikipedi makalesine dayanmaktadır.
Metin, CC BY-SA 4.0 lisansı altında mevcuttur; ek koşullar uygulanabilir.
Görseller, videolar ve sesler kendi lisansları altında mevcuttur.