Схемы аутентификации, основанные на традиционных многоразовых паролях, не обладают достаточной безопасностью. Такие пароли можно перехватить, разгадать, подсмотреть или просто украсть. Более надежными являются процедуры аутентификации на основе одноразовых паролей.

Суть схемы одноразовых паролей – использование различных паролей при каждом новом запросе на предоставление доступа. Одноразовый динамический пароль действителен только для одного входа в систему, и затем его действие истекает. Даже если кто-то перехватил его, пароль окажется бесполезным. Динамический механизм выбора пароля – один из лучших способов защиты от угроз перехвата паролей.

Различают следующие способы реализации принципа одноразовых паролей:

· механизм временных меток на основе системы единого времени;

· общий для пользователя и проверяющего список случайных паролей и надежный механизм их синхронизации;

· общий генератор случайных чисел с одним и тем же начальным значением для пользователя и проверяющего.

В основе аутентификации с одноразовыми паролями лежит процедура типа «запрос – ответ». Генерация одноразовых паролей может осуществляться аппаратным или программным способом. Аппаратные средства аутентификации на основе одноразовых паролей часто реализуются в виде миниатюрных устройств со встроенным микропроцессором. Внешне эти устройства похожи на платежные пластиковые карточки. Такие карты обычно называют ключами. У них могут быть клавиатура и небольшое дисплейное окно.

Широко известна аппаратная реализация технологии одноразовых паролей SecurlD компании Security Dynamics. Существуют и программные реализации средств аутентификации на основе одноразовых паролей в виде программных ключей, в частности продукт Softoken компании Enigma Logic. Программные ключи размещаются на гибком магнитном диске в виде обычной программы с программным генератором одноразовых паролей.

При попытке логического входа в систему пользователь сообщает системе свой идентификатор и затем вводит последовательность цифр, которую сообщает ему аппаратный или программный ключ со встроенным генератором одноразовых паролей. Ключ циклически генерирует новый пароль в виде новой последовательности цифр через небольшие постоянные интервалы времени. Сервер аутентификации сравнивает введенную пользователем цифровую последовательность с выработанным собственным значением и в зависимости от результата этого сравнения разрешает или не разрешает пользователю осуществить логический вход в систему. В качестве сервера аутентификации могут быть использованы выделенный компьютер или программа, выполняемая на обычном сервере.