Eenmalig wachtwoord

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Een eenmalig wachtwoord of one-time password (OTP) is een wachtwoord dat bij elk gebruik wijzigt met doel het moeilijker te maken ongeautoriseerd toegang te krijgen tot vertrouwelijke digitale bronnen zoals een computeraccount. Een statisch wachtwoord, een wachtwoord dat nauwelijks wordt gewijzigd, is veel gemakkelijker te achterhalen door een indringer, als deze maar over genoeg tijd beschikt. Als het wachtwoord constant verandert, zoals bij een eenmalig wachtwoord, is dat risico aanzienlijk verminderd. Het is feitelijk alleen te misbruiken door een man-in-the-middle-aanval vanaf een phishing-site.

Soorten OTP[bewerken]

Er zijn drie types eenmalige wachtwoorden:

Eerste type[bewerken]

Het eerste type gebruikt een mathematisch algoritme om een nieuw wachtwoord gebaseerd op het vorige te genereren.

Tweede type[bewerken]

Het tweede is gebaseerd op een tijd-synchronisatie-mechanisme tussen een authenticatie-server en een client, dat het wachtwoord verschaft.

Derde type[bewerken]

Het derde type is ook een mathematisch algoritme waarbij het nieuwe wachtwoord is gebaseerd op een identiteitsvraag ( bijvoorbeeld een willekeurig getal gekozen door de authenticatieserver of afgeleid van de transactiedetails) en een tegenvraag gebaseerd op het vorige wachtwoord. Dit laatste type wordt ook wel challenge type OTP genoemd.

Voorbeelden van OTP[bewerken]

  • De meeste Nederlandse en Belgische banken maken gebruik van een calculator of kaartlezer die, in combinatie met een bankpasje, ter plekke een OTP genereert. Het OTP wordt als authenticatiemiddel en als digitale handtekening gebruikt.
  • Een mobiel OTP kan tevens worden gegenereerd vanaf een toepassing op de mobiele telefoon, zoals HandyID van ID Control, wat een enorme kostenbesparing oplevert
  • Bij de Postbank werd via een sms'je een OTP (TAN-code) aan een rekeninghouder verstrekt als die rekeninghouder een transactie wil uitvoeren. Nadat de Postbank in 2009 samen is gegaan met de ING bank heeft de ING bank dit systeem overgenomen.
  • Ook DigiD kan gebruikmaken van sms-authenticatie.
RSA-SecurID-tokens.

Zie ook[bewerken]