ماهو رمز OTP ؟.. ودورها في امن المعلومات


ما هو رمز OTP


OTP هو مصطلح ملخص لجملة One Time Password


ويعني كلمة مرور لمرة واحدة وهو عبارة عن سلسلة من الأحرف أو

الأرقام

التي تم إنشاؤها تلقائيا لاستخدامها في محاولة واحدة لتسجيل دخول واحد، تعمل كلمات

المرور

لمرة واحدة على تقليل مخاطر محاولات تسجيل الدخول الاحتيالية وبالتالي مخاطر السرقة.


دور OTP في أمن المعلومات

تعتبر OTP من الطرق الهامة التي تحافظ على بيانات العميل وحساباته من السرقة مما يجعلها هامة لأمن المعلومات وذلك لعدة أسباب ومنها:


  • مقاومة هجمات إعادة التشغيل

    : توفر مصادقة OTP مزايا مميزة على استخدام كلمات المرور الثابتة وحدها، على عكس كلمات المرور التقليدية، فإن OTPs ليست عرضة لهجمات إعادة التشغيل، حيث يعترض المتسلل نقل البيانات (مثل إرسال مستخدم لكلمة المرور الخاصة به) ويسجلها ويستخدمها للوصول إلى النظام أو الحساب بأنفسهم، عندما يحصل المستخدم على حق الوصول إلى

    حساب

    ه باستخدام OTP يصبح

    الرمز

    غير صالح وبالتالي لا يمكن للمهاجمين استخدامه لأغراض أخرى.

  • صعوبة التخمين

    : غالبًا ما يتم إنشاء OTPs باستخدام خوارزميات بشكل عشوائي، وهذا يجعل من الصعب على المهاجمين تخمينها واستخدامها بنجاح، وقد تكون كلمة المرور لمرة واحدة صالحة فقط لفترات زمنية

    قصيرة

    ، أو تتطلب من المستخدم معرفة كلمة المرور لمرة واحدة سابقة، أو تزويد المستخدم بالتحدي، مثلاً (الرجاء إدخال الرقمين الثاني والخامس)، تعمل كل هذه الإجراءات على تقليل هجمات السرقة بشكل أكبر عند مقارنتها بمصادقة كلمة المرور فقط.

  • تقليل المخاطر عند اختراق كلمات المرور

    : يميل المستخدمون الذين لا يتبنون ممارسات أمان قوية إلى إعادة استخدام نفس بيانات الاعتماد عبر حسابات مختلفة، في حالة تسريب بيانات الاعتماد هذه أو وقوعها في الأيدي الخطأ، فإن البيانات المسروقة والاحتيال تشكل تهديدات كبيرة للمستخدم على كل الجبهات، ويساعد أمان OTP في منع انتهاكات الوصول، حتى إذا حصل المهاجم على مجموعة صالحة من بيانات اعتماد تسجيل الدخول.[3]

  • منع سرقة الهوية عبر الإنترنت:

    من المزايا الرائعة لاستخدام OTP  هو

    تأمين

    الوصول وذلك لأنها تصبح غير صالحة في غضون ثوانٍ قليلة، مما يمنع المتسللين من استرداد الرموز السرية وإعادة استخدامها.[1]


أمثلة على رمز OTP


  • OTP كرسالة SMS


الأصل يتم إرسال معظم OTP كرسائل SMS، بمجرد أن يبدأ المستخدم محاولة تسجيل الدخول الخاصة به، وملء اسم المستخدم وكلمة المرور الصحيحة، يتم إرسال

رسالة

نصية قصيرة OTP إلى رقم الهاتف المحمول المتصل بحسابه، يقوم المستخدم بعد ذلك بإدخال هذا الرمز الظاهر على هذا الهاتف في شاشة تسجيل الدخول، لإكمال عملية المصادقة.


  • OTP رسالة صوتية


بديل لكلمة المرور لمرة واحدة عبر الرسائل القصيرة هو الصوت, باستخدام الصوت يتم استلام كلمة المرور المنطوقة كمكالمة هاتفية على هاتف المستخدم المحمول، لن يتم تخزين كلمة المرور على هاتف المستخدم، وتتيح هذه المكالمة الوصول إلى المستخدمين ذوي الرؤية المحدودة، ويمكن أيضًا استخدام الرسالة الصوتية كنسخة احتياطية في حالة عدم استلام الرسالة القصيرة.


  • OTP كإخطار دفع


تشبه عملية المصادقة الثنائية باستخدام كلمات مرور لمرة واحدة عبر الدفع عملية المصادقة الثنائية التي تستخدم كلمة مرور لمرة واحدة عبر SMS OTP، في إجراء تسجيل الدخول عبر الإنترنت، يتم إرسال رمز تم إنشاؤه تلقائيًا كإخطار دفع للتطبيق على هاتف المستخدم، ثم يتعين على المستخدم نسخ هذا الرمز إلى شاشة تسجيل الدخول للتحقق من هويته، هذا يعني أن المستخدم يحتاج إلى تطبيق مخصص.[2]


أشهر استخدامات رمز OTP


  • تأمين الدفع وتأكيد المعاملات


يسمح استخدام OTP بتأمين الدفع أو تأكيد المعاملات بالاتصالات في

الوقت

الفعلي ويمكن أن يقلل بشكل كبير من حل الاحتيال المكلف.


إن طلب المصادقة على المستخدمين في هذه اللحظة عبر التحقق من الهاتف المحمول فعال للغاية في تقليل النشاط المشبوه حيث تتطلب العديد من تطبيقات الدفع والتجارة الإلكترونية ومواقع الويب الآن مصادقة المعاملات باستخدام كلمة مرور لمرة واحدة (OTP) يتم إرسالها عبر الرسائل القصيرة.


  • التحقق من الحسابات / العضوية


يمكن استخدام OTP للتحقق من أن الشخص الذي يحاول الوصول إلى حساب ما هو المالك الأصلي لذلك الحساب وليس متسللًا يحاول سرقة الحساب والمعلومات.


  • تأمين أجهزة متعددة لحساب واحد


يمكن أيضًا استخدام OTP لتأكيد الرغبة في تأمين أجهزة حساب متعددة لحساب واحد، هذا يضمن أن جميع الأجهزة  المستخدمة آمنة ومرتبطة بحساب واحد من اختيار العميل، مما يزيد أيضًا من أمان الحسابات.


  • حظر مرسلي البريد العشوائي والروبوتات المشابهة لأشكال CAPTCHA



اختبار

CAPTCHA هو نوع من اختبارات المستخدمة في الحوسبة لتحديد ما إذا كان المستخدم بشريًا أم لا، ويمكن أن يخدم OTP نفس الغرض ويكون المختبِر الذي يتم استخدامه للمصادقة على ما إذا كان المستخدم الذي يحاول الوصول إلى الحساب هو إنسان أو كمبيوتر.


  • تأمين المستندات عبر الإنترنت بمعلومات حساسة مثل


    كشوف


    المرتبات والمستندات الطبية والمستندات القانونية


تعد كلمة المرور لمرة واحدة من أفضل الطرق لحماية المعلومات الحساسة والخاصة، يقوم بإنشاء تأكيد أمني واختبار فيما يتعلق بمن يتلقى الوصول إلى هذا النوع من المعلومات والتأكد من أن العضو الحقيقي هو الذي يطلب الوصول إلى هذه المعلومات.


  • تعديل

    الملف

    التعريفي المصرفي للخدمة الذاتية وتفاصيل المستخدم


يمكن تأكيد إجراء تغييرات على ملف التعريف الخاص من خلال رسالة نصية قصيرة إلى رقم الهاتف المحمول الذي يحجب كلمة المرور لمرة واحدة، وسوف تتحقق هذه الخطوة من التغييرات التي تم إجراؤها على ملف التعريف الخاص، وهذا يضمن أن التغييرات قد بدأها مالك الحساب وهي ضرورية للأمان.


  • تأمين الحصول على إصدار متميز في التطبيقات



تستخدم العديد من التطبيقات حزمة مستخدم مجانية، مما يعني أن التطبيق الأساسي مجاني للاستخدام، ولكن يمكن الوصول إلى الإصدار المتميز من خلال ترقية مدفوعة، ويمكن استخدام توفير رسالة نصية قصيرة مع كلمة مرور لمرة واحدة لمصادقة مستخدمي الهاتف المحمول ورغبتهم في الترقية، وهذا يمكن أن يقلل من العضويات الاحتيالية وشروط العضوية غير الصحيحة.


  • إعادة تعيين كلمات المرور


عندما يقوم المستخدم بتسجيل الدخول إلى تطبيق أو

موقع

ويب من جهاز غير معروف أو بديل، مثلاً بعنوان IP مختلف عن العنوان المسجل في ملفه الشخصي ويطلب إعادة تعيين كلمة المرور، فإن إرسال OTP عبر الرسائل القصيرة للتحقق من هوية المستخدم يمكن أن يساعد في تقليل الاحتيال وسرقة الهوية.


  • إعادة تنشيط المستخدمين


عندما يحاول مستخدم تطبيق أو موقع ويب تسجيل الدخول بعد فترة طويلة من عدم النشاط، يمكن أن يساعد OTP في التأكد مرة أخرى من أن المستخدم الخاص أصلي وليس متسللًا أو مرسل بريد عشوائي.[4]