Пользоваться одноразовыми паролями. Одноразовые пароли для сбербанк онлайн. Пример реализации OTP

Одноразовый пароль (one time password, OTP) - это пароль, действительный только для одного сеанса . Действие одноразового пароля также может быть ограничено определенным промежутком времени. Преимущество одноразового пароля по сравнению со статическим состоит в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе. Использование одноразовых паролей само по себе не защищает от атак, основанных на активном вмешательстве в канал связи, используемый для аутентификации (например, от атак типа «человек посередине»).

Для создания одноразовых паролей используется генератор одноразовых паролей, доступный только данному пользователю. Обычно одноразовые пароли представлены в виде набора цифр и используются для доступа к системам дистанционного обслуживания. Это , внутренние информационные системы организации.

В банковской отрасли наиболее распространенным способом предоставления одноразового пароля служит СМС-сообщение, которое банк отправляет клиенту, проводящему в системе интернет-банкинга.

Кроме того, одноразовые пароли могут выдаваться банком на так называемой скретч-карте — пластиковой карточке, на которой пароли скрыты за стираемым покрытием. В этом случае клиент, получив указание от системы интернет-банкинга ввести одноразовый пароль (с определенным порядковым номером), стирает покрытие рядом с нужным номером на карточке и вводит код в систему.

Практикуется, но со временем теряет актуальность способ выдачи списка одноразовых паролей в — на чеке. Как и пароли на скретч-карте, они имеют порядковые номера и вводятся по указанию системы интернет-банкинга.

Борясь с мошенничеством, банки все активнее используют одноразовые пароли не только для подтверждения финансовых операций, но и для первоначального входа в систему интернет-банкинга.

Некоторые системы интернет-банкинга предлагают — электронный генератор одноразовых кодов.

Алгоритмы создания OTP обычно используют случайные числа. Это необходимо, потому что иначе было бы легко предсказать последующие пароли на основе знания предыдущих. Конкретные алгоритмы OTP сильно различаются в деталях. Различные подходы к созданию одноразовых паролей перечислены ниже.

1. Использующие математические алгоритмы для создания нового пароля на основе предыдущих (пароли фактически составляют цепочку, и должны быть использованы в определенном порядке).
2. Основанные на временной синхронизации между сервером и клиентом, обеспечивающей пароль (пароли действительны в течение короткого периода времени).
3. Использующие математический алгоритм, где новый пароль основан на запросе (например, случайное число, выбираемое сервером или части входящего сообщения) и/или счетчике.

Использование OTP (One Time Password, одноразовый пароль) - это дополнительный уровень безопасности при работе с торговыми счетами. При каждом подключении к счету пользователю требуется ввести уникальный одноразовый пароль.

В качестве генератора одноразовых паролей выступает и .

Чтобы начать использовать одноразовые пароли, необходимо связать свой торговый счет с генератором паролей, в качестве которого выступает мобильная платформа для iPhone или Android.

Включение OTP на iPhone

Зайдите в раздел "Настройки" мобильной платформы и выберите пункт OTP. При первом открытии данного раздела для дополнительной безопасности требуется установить пароль из четырех цифр. Пароль потребуется вводить каждый раз для доступа к генератору паролей.

Дополнительные команды:

• Синхронизировать время - синхронизировать время мобильного устройства с эталонным сервером. Требование к точности обусловлено тем, что одноразовый пароль привязан к текущему интервалу времени, и это время должно совпадать на стороне торговой платформы и сервера.

Включение OTP на устройстве с Android

Зайдите в раздел "Аккаунты" мобильного терминала и нажмите . При первом открытии данного раздела для дополнительной безопасности требуется установить пароль из четырех цифр. Пароль потребуется вводить каждый раз для доступа к генератору паролей.

В открывшемся окне выберите пункт "Привязать к счету".

Далее укажите имя сервера, на котором открыт торговый счет, номер счета и главный пароль к нему. Опцию "Привязать" следует оставить включенной. Ее необходимо выключать, если вы собираетесь отвязать указанный счет от генератора и больше не использовать одноразовые пароли.

После нажатия кнопки "Привязать", расположенной в верхней части окна, торговый счет будет связан с генератором, появится соответствующее сообщение.

Аналогичным образом вы можете привязать неограниченное количество торговых счетов к генератору.

Одноразовый пароль показывается в верхней части раздела OTP. Под ним в виде синей полоски отображается индикатор времени действия данного пароля. Как только время действия истечет, пароль станет недействительным и будет сгенерирован новый.

Дополнительные команды:

• Изменить пароль - изменить пароль для доступа к генератору.
• Синхронизировать время - синхронизировать время мобильного устройства с эталонным сервером. Требование к точности обусловлено тем, что одноразовый пароль привязан к текущему интервалу времени, и это время должно совпадать на стороне клиентского терминала и сервера.

Использование OTP в платформе

После привязки к генератору при попытке подключения через торговую платформу при помощи торгового счета будет дополнительно запрашиваться одноразовый пароль:

Получение идентификатора пользователя и одноразового пароля через банкомат или с помощью SMS.

Одноразовый пароль через банкомат.

Получить пользовательский идентификатор и постоянный пароль можно также с помощью устройства самообслуживания Сбербанка. Вставляем карту, вводим Пин-код. Далее в списке выбираете пункт «Подключить Сбербанк Онлайн и Мобильный Банк»», переходите на новую страницу. Здесь вам нужно будет нажать на вкладку «Печать разовых паролей» и получить их в виде чека.

Если вы еще не подключились к системе, то сначала выбираете пункт «Печать идентификатора и пароля» и получаете эти данные на чеке. После этого заново вставьте карту, введите пин-код и повторите все описанные выше действия.

Одноразовый пароль через SMS.

В целях безопасности при входе в систему или при проведении рисковых операций проводится дополнительная аутентификация пользователя с применением одноразового пароля.

Получить одноразовый пароль могут клиенты, которые пользуются услугой мобильного банка. Банк отправляет одноразовый пароль на мобильное устройство пользователя в ходе выполнения операции. Пользователь получает SMS-сообщение, в котором указываются параметры операции, для которой предназначен пароль. Следует учесть, что одноразовым паролем необходимо воспользоваться в течение 5 минут и только для того, чтобы подтвердить выполнение определенного действия.

Внимание! Прежде чем ввести одноразовый пароль, необходимо сверить реквизиты проводимой операции с реквизитами, которые указаны в SMS-сообщении. Если от имени Сбербанка поступили сообщения с реквизитами операции, которую вы не совершали, не вводите в соответствующие формы одноразовый пароль и никому не сообщайте его, даже если к вам обратятся от имени сотрудников Сбербанка.

Пример SMS в случае операции по формированию шаблона платежа

54321 — это одноразовый пароль, который применяется для подтверждения формирования шаблона.

Пример SMS по операции перевода

54321 — одноразовый пароль, подтверждающий перевод.

Пример SMS по операции платежа

54321 — одноразовый пароль, подтверждающий платеж.

Подтверждение операций одноразовым паролем:

Для того чтобы подтвердить операцию, на телефон, подключенный к услуге мобильного банка, отправляется сообщение с параметрами операции и паролем для подтверждения.

Чтобы завершить операцию, нужно ввести пароль в соответствующем поле и нажать кнопку ПОДТВЕРДИТЬ .

Надеемся, у вас получилось получить одноразовые пароли от Сбербанка.