OTP

Definicja OTP

One-Time Password (OTP) to unikalne, tymczasowe hasło wykorzystywane podczas pojedynczej sesji logowania lub transakcji. W przeciwieństwie do klasycznych haseł statycznych, OTP wygasa po użyciu lub po upływie określonego czasu, co znacznie utrudnia jego przechwycenie i wykorzystanie przez osoby trzecie.

Rodzaje OTP

• TOTP (Time-based OTP) – kod generowany na podstawie aktualnego czasu i tajnego klucza (np. Google Authenticator, FreeOTP).
• HOTP (HMAC-based OTP) – kod oparty o licznik i klucz HMAC, wykorzystywany np. w tokenach sprzętowych.
• SMS OTP – kod przesyłany na numer telefonu użytkownika, stosowany np. w bankowości.
• Email OTP – kod przesyłany e-mailem jako metoda drugiego składnika.
• Push OTP – zatwierdzenie żądania logowania przez aplikację mobilną (np. Duo, Microsoft Authenticator).

Zastosowania OTP

• Logowanie do systemów i aplikacji – jako element MFA (Multi-Factor Authentication).
• Autoryzacja transakcji – np. w bankowości elektronicznej.
• Dostęp do środowisk VPN lub systemów krytycznych.
• Uwierzytelnianie administracyjne i zdalne – np. dostęp do systemów SCADA lub paneli chmurowych.

Porównanie metod OTP

Wyzwania i ryzyka

1. Ataki phishingowe – użytkownicy mogą zostać nakłonieni do podania OTP na fałszywej stronie.
2. Przechwycenie SMS lub e-maila – OTP w transmisji może zostać przechwycone przez atakującego.
3. Desynchronizacja tokenów sprzętowych – błędy synchronizacji czasu lub licznika mogą uniemożliwić logowanie.
4. Zależność od urządzeń użytkownika – np. zgubienie telefonu z aplikacją TOTP.

Najlepsze praktyki

• Stosowanie OTP wyłącznie jako dodatkowego czynnika, nie zamiast hasła.
• Preferowanie metod TOTP lub push zamiast SMS.
• Użycie tokenów sprzętowych FIDO2 lub U2F jako alternatywy dla OTP.
• Szkolenia użytkowników na temat ryzyka phishingu i przechwytywania kodów.