ओटीपी क्या है? वन टाइम पासवर्ड कैसे काम करता है।

वन-टाइम पासवर्ड (ओटीपी), जिसे वन-टाइम पिन, वन-टाइम ऑथराइजेशन कोड (ओटीएसी), या डायनेमिक पासवर्ड के रूप में भी जाना जाता है, एक पासवर्ड है जो कंप्यूटर सिस्टम पर केवल एक लॉगिन सत्र या लेनदेन के लिए मान्य है। अन्य डिजिटल डिवाइस। ओटीपी पारंपरिक (स्थिर) पासवर्ड-आधारित प्रमाणीकरण से जुड़ी कई कमियों से बचते हैं; कई कार्यान्वयनों में दो-कारक प्रमाणीकरण भी शामिल है, यह सुनिश्चित करके कि एक बार के पासवर्ड के लिए किसी व्यक्ति के पास किसी चीज़ तक पहुंच की आवश्यकता होती है (जैसे कि ओटीपी कैलकुलेटर के साथ एक छोटा कीरिंग फ़ॉब डिवाइस, या एक स्मार्टकार्ड या विशिष्ट सेलफोन) साथ ही साथ जैसा कि कोई व्यक्ति जानता है (जैसे पिन)। (what is OTP read in English )

ओटीपी पीढ़ी एल्गोरिदम आम तौर पर एक साझा कुंजी या बीज उत्पन्न करने के लिए छद्म यादृच्छिकता या यादृच्छिकता का उपयोग करते हैं, और क्रिप्टोग्राफिक हैश फ़ंक्शन, जिसका उपयोग मूल्य प्राप्त करने के लिए किया जा सकता है लेकिन रिवर्स करना मुश्किल होता है और इसलिए हमलावर के लिए उपयोग किए जाने वाले डेटा को प्राप्त करना मुश्किल होता है हैश। यह आवश्यक है क्योंकि अन्यथा, पिछले ओटीपी को देखकर भविष्य के ओटीपी की भविष्यवाणी करना आसान होगा।

ओटीपी पर पारंपरिक पासवर्ड के संभावित प्रतिस्थापन के साथ-साथ एक एन्हांसर के रूप में चर्चा की गई है। नकारात्मक पक्ष पर, ओटीपी को इंटरसेप्ट किया जा सकता है या फिर से भेजा जा सकता है, और हार्ड टोकन खो सकते हैं, क्षतिग्रस्त हो सकते हैं या चोरी हो सकते हैं। कई सिस्टम जो ओटीपी का उपयोग करते हैं, उन्हें सुरक्षित रूप से लागू नहीं करते हैं, और हमलावर अभी भी अधिकृत उपयोगकर्ता का प्रतिरूपण करने के लिए फ़िशिंग हमलों के माध्यम से पासवर्ड सीख सकते हैं।

Table of content (TOC)

विशेषताएं ओटीपी वन-टाइम-पासवर्ड  Features OTP One-Time-Password

ओटीपी द्वारा संबोधित सबसे महत्वपूर्ण लाभ यह है कि, स्थिर पासवर्ड के विपरीत, वे रीप्ले हमलों की चपेट में नहीं आते हैं। इसका मतलब यह है कि एक संभावित घुसपैठिया जो एक ओटीपी रिकॉर्ड करने का प्रबंधन करता है जो पहले से ही किसी सेवा में लॉग इन करने या लेनदेन करने के लिए उपयोग किया गया था, वह इसका उपयोग नहीं कर पाएगा, क्योंकि यह अब मान्य नहीं होगा। दूसरा प्रमुख लाभ यह है कि एक उपयोगकर्ता जो एकाधिक सिस्टम के लिए समान (या समान) पासवर्ड का उपयोग करता है, उन सभी पर असुरक्षित नहीं बनाया जाता है, यदि इनमें से किसी एक के लिए पासवर्ड हमलावर द्वारा प्राप्त किया जाता है। कई ओटीपी सिस्टम का उद्देश्य यह भी सुनिश्चित करना है कि पिछले सत्र के दौरान बनाए गए अप्रत्याशित डेटा के ज्ञान के बिना एक सत्र को आसानी से इंटरसेप्ट या प्रतिरूपित नहीं किया जा सकता है, इस प्रकार हमले की सतह को और कम किया जा सकता है।

उपयोगकर्ता को अगले ओटीपी का उपयोग करने के लिए जागरूक करने के विभिन्न तरीके भी हैं। कुछ सिस्टम विशेष इलेक्ट्रॉनिक सुरक्षा टोकन का उपयोग करते हैं जो उपयोगकर्ता रखता है और जो ओटीपी उत्पन्न करता है और उन्हें एक छोटे डिस्प्ले का उपयोग करके दिखाता है। अन्य प्रणालियों में सॉफ्टवेयर होता है जो उपयोगकर्ता के मोबाइल फोन पर चलता है। फिर भी अन्य सिस्टम सर्वर-साइड पर ओटीपी उत्पन्न करते हैं और उन्हें आउट-ऑफ-बैंड चैनल जैसे एसएमएस मैसेजिंग का उपयोग करके उपयोगकर्ता को भेजते हैं। अंत में, कुछ प्रणालियों में, ओटीपी को कागज पर मुद्रित किया जाता है जिसे उपयोगकर्ता को ले जाने की आवश्यकता होती है।

कुछ गणितीय एल्गोरिथम योजनाओं में, उपयोगकर्ता के लिए केवल एक बार का पासवर्ड भेजकर, एन्क्रिप्शन कुंजी के रूप में उपयोग के लिए सर्वर को एक स्थिर कुंजी प्रदान करना संभव है।

ओटीपी की पीढ़ी generation of OTPs One-time-passwords

कंक्रीट ओटीपी एल्गोरिदम उनके विवरण में बहुत भिन्न होते हैं। ओटीपी उत्पन्न करने के लिए विभिन्न दृष्टिकोणों में शामिल हैं:

प्रमाणीकरण सर्वर और पासवर्ड प्रदान करने वाले क्लाइंट के बीच समय-सिंक्रनाइज़ेशन के आधार पर (ओटीपी केवल थोड़े समय के लिए मान्य होते हैं)

पिछले पासवर्ड के आधार पर एक नया पासवर्ड उत्पन्न करने के लिए गणितीय एल्गोरिदम का उपयोग करना (ओटीपी प्रभावी रूप से एक श्रृंखला है और इसे पूर्वनिर्धारित क्रम में उपयोग किया जाना चाहिए)।

गणितीय एल्गोरिदम का उपयोग करना जहां नया पासवर्ड एक चुनौती पर आधारित होता है (उदाहरण के लिए, प्रमाणीकरण सर्वर या लेनदेन विवरण द्वारा चुना गया एक यादृच्छिक संख्या) और/या एक काउंटर।

टाइम-सिंक्रोनाइज़्ड ओटीपी वन-टाइम-पासवर्ड Time-synchronized OTP One-time-passwords

एक टाइम-सिंक्रोनाइज़्ड ओटीपी आमतौर पर हार्डवेयर के एक टुकड़े से संबंधित होता है जिसे सुरक्षा टोकन कहा जाता है (उदाहरण के लिए, प्रत्येक उपयोगकर्ता को एक व्यक्तिगत टोकन दिया जाता है जो एक बार का पासवर्ड उत्पन्न करता है)। यह एक छोटे कैलकुलेटर या चाबी का गुच्छा आकर्षण की तरह लग सकता है, एक एलसीडी के साथ जो एक संख्या दिखाता है जो कभी-कभी बदलता है। टोकन के अंदर एक सटीक घड़ी है जिसे मालिकाना प्रमाणीकरण सर्वर पर घड़ी के साथ सिंक्रनाइज़ किया गया है। इन ओटीपी सिस्टम पर, समय पासवर्ड एल्गोरिथम का एक महत्वपूर्ण हिस्सा है, क्योंकि नए पासवर्ड की पीढ़ी पिछले पासवर्ड या गुप्त कुंजी के बजाय, या इसके अतिरिक्त वर्तमान समय पर आधारित होती है। यह टोकन एक मालिकाना डिवाइस, या एक मोबाइल फोन या इसी तरह का मोबाइल डिवाइस हो सकता है जो मालिकाना, फ्रीवेयर या ओपन-सोर्स सॉफ़्टवेयर चलाता है। टाइम-सिंक्रनाइज़्ड ओटीपी मानक का एक उदाहरण टाइम-बेस्ड वन-टाइम पासवर्ड (टीओटीपी) है। कुछ एप्लिकेशन का उपयोग समय-सिंक्रनाइज़ ओटीपी रखने के लिए किया जा सकता है, जैसे Google प्रमाणक या पासवर्ड प्रबंधक।

हैश चेन ओटीपी वन-टाइम-पासवर्ड Hash chains OTP One-time-passwords

प्रत्येक नया ओटीपी इस्तेमाल किए गए पिछले ओटीपी से बनाया जा सकता है। इस प्रकार के एल्गोरिथ्म का एक उदाहरण, जिसका श्रेय लेस्ली लैम्पपोर्ट को दिया जाता है, एक तरफ़ा फ़ंक्शन का उपयोग करता है (इसे f कहते हैं)। यह वन-टाइम पासवर्ड सिस्टम निम्नानुसार काम करता है:

एक बीज (शुरुआती मूल्य) s चुना जाता है।

एक हैश फ़ंक्शन f(s) को बार-बार (उदाहरण के लिए, 1000 बार) बीज पर लागू किया जाता है, जो निम्न का मान देता है: f(f(f( .... f(s) ....)))। यह मान, जिसे हम f¹⁰⁰⁰ कहेंगे, लक्ष्य प्रणाली पर संग्रहीत है।

उपयोगकर्ता का पहला लॉगिन एक पासवर्ड p का उपयोग करता है जो f को 999 बार बीज पर लागू करके प्राप्त किया जाता है, अर्थात f⁹⁹⁹(s)। लक्ष्य प्रणाली प्रमाणित कर सकती है कि यह सही पासवर्ड है, क्योंकि f(p) f¹⁰⁰⁰(s) है, जो कि संग्रहीत मूल्य है। तब संग्रहीत मान को p से बदल दिया जाता है और उपयोगकर्ता को लॉग इन करने की अनुमति दी जाती है।

अगला लॉगिन, f⁹⁹⁸(s) के साथ होना चाहिए। फिर से, इसे मान्य किया जा सकता है क्योंकि हैशिंग यह f⁹⁹⁹(s) देता है जो कि p है, जो पिछले लॉगिन के बाद संग्रहीत मूल्य है। फिर से, नया मान p को बदल देता है और उपयोगकर्ता प्रमाणित हो जाता है।

इसे और 997 बार दोहराया जा सकता है, हर बार पासवर्ड को एक कम बार लागू किया जाएगा, और यह जाँच कर सत्यापित किया जाता है कि जब हैश किया जाता है, तो यह पिछले लॉगिन के दौरान संग्रहीत मान देता है। हैश फ़ंक्शंस को रिवर्स करने के लिए बेहद कठिन होने के लिए डिज़ाइन किया गया है, इसलिए एक हमलावर को संभावित पासवर्ड की गणना करने के लिए प्रारंभिक बीज जानने की आवश्यकता होगी, जबकि कंप्यूटर सिस्टम किसी भी अवसर पर पासवर्ड की पुष्टि कर सकता है, यह जांच कर मान्य है कि, हैश होने पर, यह देता है लॉगिन के लिए पहले इस्तेमाल किया गया मान। यदि पासवर्ड की एक अनिश्चित श्रृंखला की आवश्यकता है, तो s के लिए सेट समाप्त होने के बाद एक नया बीज मान चुना जा सकता है।

पिछले पासवर्ड से श्रृंखला में अगला पासवर्ड प्राप्त करने के लिए, किसी को व्युत्क्रम फ़ंक्शन f^-1की गणना करने का एक तरीका खोजने की आवश्यकता है। चूँकि f को वन-वे के रूप में चुना गया था, इसलिए ऐसा करना अत्यंत कठिन है। यदि f एक क्रिप्टोग्राफिक हैश फ़ंक्शन है, जो आमतौर पर ऐसा होता है, तो इसे एक कम्प्यूटेशनल रूप से कठिन कार्य माना जाता है। एक घुसपैठिया जो एक बार का पासवर्ड देखता है, उसके पास एक समय अवधि या लॉगिन तक पहुंच हो सकती है, लेकिन उस अवधि के समाप्त होने के बाद यह बेकार हो जाता है। S/KEY वन-टाइम पासवर्ड सिस्टम और इसका व्युत्पन्न OTP लैम्पपोर्ट की योजना पर आधारित है।

चुनौती-प्रतिक्रिया Challenge-response OTP One-time-passwords

चुनौती-प्रतिक्रिया वन-टाइम पासवर्ड के उपयोग के लिए उपयोगकर्ता को किसी चुनौती का जवाब देना आवश्यक है। उदाहरण के लिए, यह उस मान को इनपुट करके किया जा सकता है जो टोकन ने टोकन में ही उत्पन्न किया है। डुप्लिकेट से बचने के लिए, एक अतिरिक्त काउंटर आमतौर पर शामिल होता है, इसलिए यदि किसी को एक ही चुनौती दो बार मिलती है, तो इसके परिणामस्वरूप अलग-अलग वन-टाइम पासवर्ड होते हैं। हालांकि, गणना में आमतौर पर पिछले वन-टाइम पासवर्ड शामिल नहीं होते हैं; अर्थात्, आमतौर पर, दोनों एल्गोरिदम का उपयोग करने के बजाय, इस या किसी अन्य एल्गोरिदम का उपयोग किया जाता है।

ओटीपी वन-टाइम-पासवर्ड का कार्यान्वयन Implementations Of OTP One-time-passwords

SMS OTP

ओटीपी की डिलीवरी के लिए इस्तेमाल की जाने वाली एक सामान्य तकनीक टेक्स्ट मैसेजिंग है। चूंकि टेक्स्ट मैसेजिंग एक सर्वव्यापी संचार चैनल है, जो लगभग सभी मोबाइल हैंडसेट में सीधे उपलब्ध है और टेक्स्ट-टू-स्पीच रूपांतरण के माध्यम से, किसी भी मोबाइल या लैंडलाइन टेलीफोन पर, टेक्स्ट मैसेजिंग में कम कुल लागत के साथ सभी उपभोक्ताओं तक पहुंचने की एक बड़ी क्षमता है। लागू। टेक्स्ट मैसेजिंग पर OTP को A5/x मानक का उपयोग करके एन्क्रिप्ट किया जा सकता है, जिसे कई हैकिंग समूहों की रिपोर्ट मिनटों या सेकंड के भीतर सफलतापूर्वक डिक्रिप्ट की जा सकती है। इसके अतिरिक्त, SS7 रूटिंग प्रोटोकॉल में सुरक्षा खामियां संबंधित टेक्स्ट संदेशों को हमलावरों को पुनर्निर्देशित करने के लिए उपयोग की जा सकती हैं और इनका उपयोग किया जा सकता है; 2017 में, जर्मनी में कई O2 ग्राहकों को उनके मोबाइल बैंकिंग खातों तक पहुंच प्राप्त करने के लिए इस तरह से भंग कर दिया गया था। जुलाई 2016 में, यूएस एनआईएसटी ने प्रमाणीकरण प्रथाओं पर मार्गदर्शन के साथ एक विशेष प्रकाशन का मसौदा जारी किया, जो एसएमएस के उपयोग को आउट-ऑफ-बैंड टू-फैक्टर प्रमाणीकरण को लागू करने की एक विधि के रूप में हतोत्साहित करता है, क्योंकि एसएमएस को इंटरसेप्ट किया जा सकता है। पैमाने पर। पाठ संदेश सिम स्वैप घोटालों के लिए भी असुरक्षित होते हैं - जिसमें एक हमलावर धोखे से पीड़ित के फोन नंबर को अपने स्वयं के सिम कार्ड में स्थानांतरित कर देता है, जिसका उपयोग उस पर भेजे जा रहे संदेशों तक पहुंच प्राप्त करने के लिए किया जा सकता है।

Hardware tokens

RSA Security का SecurID HID Global के समाधानों के साथ-साथ समय-सिंक्रनाइज़ेशन प्रकार के टोकन का एक उदाहरण है। सभी टोकन की तरह, ये खो सकते हैं, क्षतिग्रस्त हो सकते हैं, या चोरी हो सकते हैं; इसके अतिरिक्त, एक असुविधा होती है क्योंकि बैटरी मर जाती है, विशेष रूप से बिना रिचार्जिंग सुविधा वाले टोकन के लिए या एक गैर-बदली जाने वाली बैटरी के साथ। 2006 में आरएसए द्वारा मालिकाना टोकन का एक प्रकार प्रस्तावित किया गया था और इसे "सर्वव्यापी प्रमाणीकरण" के रूप में वर्णित किया गया था, जिसमें आरएसए मोबाइल फोन जैसे उपकरणों में भौतिक SecurID चिप्स जोड़ने के लिए निर्माताओं के साथ भागीदारी करेगा।

हाल ही में, नियमित कीफोब ओटीपी टोकन से जुड़े इलेक्ट्रॉनिक घटकों को लेना और उन्हें क्रेडिट कार्ड फॉर्म फैक्टर में एम्बेड करना संभव हो गया है। हालांकि, कार्ड का पतलापन, 0.79 मिमी से 0.84 मिमी मोटा, मानक घटकों या बैटरी के उपयोग को रोकता है। विशेष पॉलीमर-आधारित बैटरियों का उपयोग किया जाना चाहिए जिनमें सिक्का (बटन) कोशिकाओं की तुलना में बहुत कम बैटरी जीवन होता है। सेमीकंडक्टर घटकों को न केवल बहुत सपाट होना चाहिए बल्कि स्टैंडबाय में और संचालन करते समय उपयोग की जाने वाली शक्ति को कम करना चाहिए।

यूबिको एक एम्बेडेड चिप के साथ एक छोटा यूएसबी टोकन प्रदान करता है जो एक कुंजी दबाए जाने पर एक ओटीपी बनाता है और एक लंबे पासवर्ड को आसानी से दर्ज करने की सुविधा के लिए एक कीबोर्ड का अनुकरण करता है। चूंकि यह एक यूएसबी डिवाइस है, इसलिए यह बैटरी बदलने की असुविधा से बचाता है।

इस तकनीक का एक नया संस्करण विकसित किया गया है जो एक कीपैड को मानक आकार और मोटाई के भुगतान कार्ड में एम्बेड करता है। कार्ड में एक एम्बेडेड कीपैड, डिस्प्ले, माइक्रोप्रोसेसर और प्रॉक्सिमिटी चिप है।

Soft tokens OTP One-time-passwords

स्मार्टफ़ोन पर, वन-टाइम पासवर्ड को सीधे मोबाइल ऐप के माध्यम से भी डिलीवर किया जा सकता है, जिसमें ऑटि और Google ऑथेंटिकेटर जैसे समर्पित प्रमाणीकरण ऐप या किसी सेवा के मौजूदा ऐप जैसे स्टीम के मामले में शामिल हैं। ये सिस्टम एसएमएस के समान सुरक्षा कमजोरियों को साझा नहीं करते हैं, और जरूरी नहीं कि उपयोग करने के लिए मोबाइल नेटवर्क से कनेक्शन की आवश्यकता हो।

Hard copies of OTPs 

कुछ देशों की ऑनलाइन बैंकिंग में, बैंक उपयोगकर्ता को ओटीपी की एक क्रमांकित सूची भेजता है जो कागज पर छपी होती है। अन्य बैंक प्लास्टिक कार्ड भेजते हैं जिनमें वास्तविक ओटीपी एक परत से छिपा होता है जिसे उपयोगकर्ता को एक क्रमांकित ओटीपी प्रकट करने के लिए खरोंच करना पड़ता है। प्रत्येक ऑनलाइन लेनदेन के लिए, उपयोगकर्ता को उस सूची से एक विशिष्ट ओटीपी दर्ज करना आवश्यक है। कुछ सिस्टम क्रमांकित ओटीपी के लिए क्रमिक रूप से पूछते हैं, अन्य छद्म यादृच्छिक रूप से दर्ज करने के लिए एक ओटीपी चुनते हैं।

Security OTP One-time-passwords

जब सही ढंग से लागू किया जाता है, तो ओटीपी किसी हमलावर के लिए उनके प्रारंभिक उपयोग के थोड़े समय के भीतर उपयोगी नहीं रह जाते हैं। यह पासवर्ड से अलग है, जो इस तथ्य के वर्षों बाद भी हमलावरों के लिए उपयोगी हो सकता है।

पासवर्ड के साथ, ओटीपी सोशल इंजीनियरिंग हमलों की चपेट में हैं, जिसमें फ़िशर ग्राहकों को उनके ओटीपी प्रदान करने के लिए धोखा देकर ओटीपी चुरा लेते हैं। पासवर्ड की तरह, ओटीपी भी बीच-बीच में होने वाले हमलों के प्रति संवेदनशील हो सकते हैं, जिससे उन्हें एक सुरक्षित चैनल के माध्यम से संचार करना महत्वपूर्ण हो जाता है, उदाहरण के लिए, ट्रांसपोर्ट लेयर सिक्योरिटी।

तथ्य यह है कि पासवर्ड और ओटीपी दोनों समान प्रकार के हमलों की चपेट में हैं, यूनिवर्सल सेकेंड फैक्टर के लिए एक प्रमुख प्रेरणा थी, जिसे फ़िशिंग हमलों के लिए अधिक प्रतिरोधी होने के लिए डिज़ाइन किया गया है।

ओटीपी जिसमें समय-सिंक्रनाइज़ेशन या चुनौती-प्रतिक्रिया घटक शामिल नहीं है, उनके उपयोग से पहले समझौता किए जाने पर भेद्यता की एक लंबी खिड़की होगी। 2005 के अंत में एक स्वीडिश बैंक के ग्राहकों को उनके पूर्व-आपूर्ति किए गए वन-टाइम पासवर्ड देने के लिए छल किया गया था। 2006 में इस तरह के हमले का इस्तेमाल एक अमेरिकी बैंक के ग्राहकों पर किया गया था।

ओटीपी वन-टाइम-पासवर्ड का मानकीकरण Standardization Of OTP One-time-passwords

कई ओटीपी तकनीकों का पेटेंट कराया जाता है। यह इस क्षेत्र में मानकीकरण को और अधिक कठिन बना देता है, क्योंकि प्रत्येक कंपनी अपनी तकनीक को आगे बढ़ाने की कोशिश करती है। हालाँकि, मानक मौजूद हैं - उदाहरण के लिए, RFC 1760 (S/KEY), RFC 2289 (OTP), RFC 4226 (HOTP) और RFC 6238 (TOTP)

ओटीपी वन-टाइम-पासवर्ड का उपयोग Use Of OTP One-time-passwords

Mobile phone

एक मोबाइल फोन अपने आप में एक हैंड-हेल्ड ऑथेंटिकेशन टोकन हो सकता है। मोबाइल टेक्स्ट मैसेजिंग मोबाइल फोन के माध्यम से ओटीएसी प्राप्त करने के तरीकों में से एक है। इस तरह, एक सेवा प्रदाता एक टेक्स्ट संदेश भेजता है जिसमें प्रमाणीकरण के लिए उपयोगकर्ता को एक डिजिटल प्रमाणपत्र द्वारा एन्क्रिप्ट किया गया ओटीएसी शामिल होता है। एक रिपोर्ट के अनुसार, जब मोबाइल टेक्स्ट मैसेजिंग सैद्धांतिक विश्लेषण के अनुसार द्विदिश प्रमाणीकरण और गैर-अस्वीकृति प्रदान करने के लिए सार्वजनिक कुंजी बुनियादी ढांचे (पीकेआई) का उपयोग करता है तो उच्च सुरक्षा प्रदान करता है।

ओटीएसी प्राप्त करने की एक विधि के रूप में एसएमएस बैंकिंग, क्रेडिट/डेबिट कार्ड और सुरक्षा जैसे उद्देश्यों के लिए हमारे दैनिक जीवन में व्यापक रूप से उपयोग किया जाता है।

Telephone

उपयोगकर्ता के प्रमाणीकरण को सत्यापित करने के लिए टेलीफ़ोन का उपयोग करने के दो तरीके हैं।

पहली विधि के साथ, एक सेवा प्रदाता कंप्यूटर या स्मार्टफोन स्क्रीन पर एक ओटीएसी दिखाता है और फिर उस नंबर पर एक स्वचालित टेलीफोन कॉल करता है जिसे पहले ही प्रमाणित किया जा चुका है। फिर उपयोगकर्ता ओटीएसी में प्रवेश करता है जो उनकी स्क्रीन पर टेलीफोन कीपैड में दिखाई देता है।

दूसरी विधि के साथ, जिसका उपयोग माइक्रोसॉफ्ट विंडोज को प्रमाणित और सक्रिय करने के लिए किया जाता है, उपयोगकर्ता एक नंबर पर कॉल करता है जो सेवा प्रदाता द्वारा प्रदान किया जाता है और ओटीएसी में प्रवेश करता है जो फोन सिस्टम उपयोगकर्ता को देता है।

Computer

कंप्यूटर प्रौद्योगिकी के क्षेत्र में, यह ज्ञात है कि ईमेल के माध्यम से वन-टाइम ऑथराइजेशन कोड (OTAC) का व्यापक अर्थों में, और वेब-एप्लिकेशन के माध्यम से वन-टाइम ऑथराइजेशन कोड (OTAC) का उपयोग पेशेवर अर्थों में किया जाता है।

ईमेल ओटीएसी का उपयोग करने के सामान्य तरीकों में से एक है। दो मुख्य विधियों का उपयोग किया जाता है। पहली विधि के साथ, एक सेवा प्रदाता एक प्रमाणित ईमेल पते पर एक व्यक्तिगत वन टाइम यूआरएल भेजता है उदा। @ ucl.ac.uk, जब उपयोगकर्ता यूआरएल पर क्लिक करता है तो सर्वर उपयोगकर्ता को प्रमाणित करता है। दूसरी विधि के साथ, एक सेवा प्रदाता एक प्रमाणित ईमेल पते पर एक व्यक्तिगत ओटीएसी (उदाहरण के लिए एक एन्क्रिप्टेड टोकन) भेजता है जब उपयोगकर्ता ओटीएसी को वेबसाइट में टाइप करता है तो सर्वर उपयोगकर्ता को प्रमाणित करता है।

एक वेब एप्लिकेशन एक विशिष्ट व्यक्तिगत पहचान संख्या (पिन) उत्पन्न कर सकता है जिसे उपयोगकर्ता डेस्कटॉप क्लाइंट में इनपुट कर सकता है, डेस्कटॉप क्लाइंट, बदले में, उस कोड का उपयोग वेब एप्लिकेशन को प्रमाणित करने के लिए करता है। प्रमाणीकरण का यह रूप उन वेब अनुप्रयोगों में विशेष रूप से उपयोगी है जिनके पास आंतरिक उपयोगकर्ता नाम/पासवर्ड स्टोर नहीं है बल्कि प्रमाणीकरण के लिए एसएएमएल का उपयोग करते हैं। चूंकि एसएएमएल केवल ब्राउज़र के भीतर काम करता है, डेस्कटॉप-आधारित वेब एप्लिकेशन क्लाइंट एसएएमएल का उपयोग करके सफलतापूर्वक प्रमाणित नहीं कर सकता है। इसके बजाय, क्लाइंट एप्लिकेशन स्वयं को वेब एप्लिकेशन के लिए प्रमाणित करने के लिए वन-टाइम ऑथराइज़ेशन कोड (OTAC) का उपयोग कर सकता है। इसके अलावा, जब किसी तृतीय पक्ष एप्लिकेशन को HTTP सेवा तक सीमित पहुंच प्राप्त करने की आवश्यकता होती है, तो OAuth प्राधिकरण ढांचे का उपयोग करना संभव है।

Post

किसी उपयोगकर्ता को ओटीएसी डाक या पंजीकृत मेल के माध्यम से भेजना संभव है। जब कोई उपयोगकर्ता ओटीएसी का अनुरोध करता है, तो सेवा प्रदाता इसे डाक या पंजीकृत मेल के माध्यम से भेजता है और फिर उपयोगकर्ता प्रमाणीकरण के लिए इसका उपयोग कर सकता है। उदाहरण के लिए, यूके में, कुछ बैंक डाक या पंजीकृत मेल के माध्यम से इंटरनेट बैंकिंग प्राधिकरण के लिए अपना ओटीएसी भेजते हैं।

ओटीपी वन-टाइम-पासवर्ड का विस्तार Expansion of OTP One-time-passwords

क्वांटम क्रिप्टोग्राफी, जो अनिश्चितता के सिद्धांत पर आधारित है, ओटीएसी के उत्पादन के लिए आदर्श तरीकों में से एक है।

इसके अलावा, इस पर चर्चा की गई है और इसका उपयोग न केवल प्रमाणीकरण के लिए एक एन्क्रिप्टेड कोड का उपयोग करके किया गया है, बल्कि ग्राफिकल वन टाइम पिन प्रमाणीकरण जैसे क्यूआर कोड का भी उपयोग किया गया है जो गुमनाम प्रमाणीकरण के साथ विकेन्द्रीकृत अभिगम नियंत्रण तकनीक प्रदान करता है।

See also

• Google Authenticator
• FreeOTP
• Initiative For Open Authentication
• Key-agreement protocol
• KYPS
• One-time pad
• OTPW
• Personal identification number
• Public Key Infrastructure
• QR Code
• S/KEY
• Security token
• Time-based One-time Password algorithm
• Two-factor authentication

Various Info Conclusion

So friends, how did you like our post! Don't forget to share this with your friends, below Sharing Button Post.  Apart from this, if there is any problem in the middle, then don't hesitate to ask in the Comment box. If you want, you can send your question to our email Personal Contact Form as well.  We will be happy to assist you. We will keep writing more posts related to this. So do not forget to bookmark (Ctrl + D) our blog `Various Info` on your mobile or computer and subscribe to us now to get all posts in your email. If you like this post, then do not forget to share it with your friends.  You can help us reach more people by sharing it on social networking sites like WhatsApp, Facebook, or Twitter.  Thank you!