Wat is een One Time Password?

Inmiddels is OTP wereldwijd de standaardmethode om inloggen in bepaalde gevallen mogelijk te maken, bijvoorbeeld bij het valideren van een nieuw account of het bevestigen van een transactie. OTP staat ook wel bekend als eenmalige pincode, one-time authorisatzion code (OTAC) of dynamisch wachtwoord. Meestal is het een zescijferig nummer dat via SMS naar de telefoon van een gebruiker wordt verzonden, zodat die het kan invoeren op de site of app waar hij of zij probeert in te loggen.

Waarom One Time Passwords gebruiken?

Elke dag worden er over de hele wereld miljoenen OTP's verzonden. Voor een groot deel gebeurt dit via SMS, en daar zijn goede redenen voor. Veel mensen houden hun mobiele telefoon immers 24 uur per dag bij de hand. En omdat mensen hun mobieltje als een waardevol persoonlijk bezit zien, is er per telefoon vaak maar één gebruiker. Dit maakt het een uitstekend kanaal om mee te bevestigen dat iemand is wie ze zeggen dat ze zijn.

Het algemene idee van een One Time Password of eenmalig wachtwoord is het toevoegen van een ​​tweede authenticatielaag om cybercriminaliteit voor te blijven en je bedrijf te beschermen tegen de catastrofale gevolgen van fraude.

Het risico op fraude is een stuk kleiner als de gebruiker niet alleen zijn gebruikersnaam en wachtwoord hoeft in te vullen (iets wat hij weet), maar om de login te voltooien ook iets nodig heeft dat hij of zij "bezit". Dit kan de telefoon van de gebruiker zijn. OTP's zijn er in alle soorten en maten, maar voegen altijd een extra authenticatielaag toe.

Hoe werkt een One Time Password?

Bedrijven gebruiken OTP's wanneer een transactie extra beveiliging of een alternatieve methode nodig heeft om de identiteit van een klant te bewijzen. Een verzoek om een One Time Password wordt ingediend wanneer een erkende situatie zich voordoet. Denk aan een klant die een wachtwoordherinnering nodig heeft, een bank die een transactie "buiten het patroon" waarneemt en vele andere gevallen (zie hieronder). Zowel de klant als de instelling waarmee diegene te maken heeft, kan het verzoek om de OTP indienen.

Het eenmalig wachtwoord wordt vervolgens automatisch gegenereerd als een semi-willekeurig getal of tekenreeks. Er is geen manier om van tevoren te voorspellen wat de code zal zijn. Ook zijn One Time Passwords meestal slechts enkele minuten bruikbaar.

Er zijn verschillende manieren om een ​​OTP te versturen. Soms is er de mogelijkheid om OTP's per e-mail te ontvangen, hoewel dit meestal minder veilig is. Andere providers schakelen OTP's in als voicemail, zodat de klant bij het controleren van diens mailbox de code hardop krijgt te horen. Verreweg de meest gebruikelijke manier om OTP's te verzenden is via mobiele berichten. Meestal gebeurt dit via een SMS naar de mobiele telefoon van de klant.

Voorbeelden van One Time Passwords

Eenmalig wachtwoord als SMS bericht

Oorspronkelijk werden de meeste OTP's verzonden als SMS bericht. Zodra de gebruiker zijn inlogpoging begint, waarbij hij zijn gebruikersnaam en het juiste wachtwoord invult, wordt een SMS OTP verzonden naar het mobiele nummer dat aan zijn account is gekoppeld. De gebruiker voert vervolgens de code in die op zijn telefoon wordt getoond in het inlogscherm, waarmee het authenticatieproces is voltooid.

Eenmalig wachtwoord als spraakbericht

Een alternatief voor een eenmalig wachtwoord via SMS is via een gesproken bericht. Met Voice wordt het gesproken wachtwoord ontvangen als een telefoongesprek op de mobiele telefoon van de gebruiker. Het wachtwoord wordt niet opgeslagen op de telefoon van de gebruiker en met Voice kun je ook gebruikers bereiken die slechtziend zijn. Je kunt Voice ook implementeren als een back-up voor het geval je SMS bericht niet wordt afgeleverd.

Eenmalig wachtwoord als Pushbericht

Het Two-factor Authentication proces met behulp van One Time Passwords via Push is vergelijkbaar met eenmalige wachtwoorden via SMS. In de inlogprocedure op je online omgeving wordt een automatisch gegenereerde code als push notificatie naar de App in de telefoon van de gebruiker gestuurd. Vervolgens moet de gebruiker die code kopiëren naar het inlogscherm om zijn identiteit te verifiëren. Dit betekent wel dat je een speciale app nodig heeft.

Waarom is een One Time Password veilig?

OTP’s lijken misschien eenvoudig, maar er gaat verrassend veel technologie schuil achter het verzenden van een One Time Password naar de mobiele telefoon van een klant. En hoewel de OTP's die gebruikers per SMS ontvangen tijdens het transport niet zijn versleuteld, zorgen andere methoden ervoor dat alleen de geautoriseerde persoon het wachtwoord kan gebruiken.

OTP's maken gebruik van bewezen best practices

Veelgebruikte modellen voor inlogbeveiliging, zoals Two-Factor Authentication (TFA) en Strong Customer Authentication (SCA), gaan ervanuit dat het combineren van meerdere factoren voor een betere beveiliging zorgt, ook al zijn de afzonderlijke factoren op zichzelf niet per se veilig. Deze aanpak is niet uniek voor OTP: het zijn standaardmethoden die de hele beveiligingsindustrie gebruikt.

De verschillende factoren van Multi-Factor Authentification

In de basis combineren deze modellen wat iemand heeft (zoals een persoonlijke mobiele telefoon) met wat iemand weet (zoals diens eigen e-mailadres) en/of wat iemand is, inclusief meer uitdagende vragen zoals de geboorteplaats van een ouder. Alles bij elkaar voldoet de combinatie van een persoonlijk apparaat, een semi-willekeurige toegangscode (de OTP) en een kort tijdsbestek om het wachtwoord in te voeren, aan veel gebruikscases voor veilig inloggen.

Het genereren van een versleutelde OTP-code

De code die op de telefoon van een klant binnenkomt, komt niet uit een bestaande lijst en blijft evenmin voor langere tijd bewaard. Het genereren gebeurt op dezelfde manier als het maken van de cryptografische sleutels die bankrekeningen beschermen. Er is sprake van een "one-way hash-functie" die grote priemgetallen genereert en vermenigvuldigt. Dergelijke codes zijn weliswaar relatief eenvoudig te genereren, maar tegelijkertijd vrijwel onmogelijk om "terug te volgen". Kortom, wie kwaad in de zin heeft kan door naar het resultaat te kijken niet ontdekken hoe de code is gegenereerd.

Het gevolg hiervan is dat de OTP die de klant ziet écht onvoorspelbaar is. Zelfs als een kwaadwillende over lijsten met miljoenen OTP's zou beschikken, is er geen "patroon" waarmee diegene kan voorspellen welke OTP een bepaalde klant in de toekomst krijgt.

OTP's zijn maar voor een beperkte tijd bruikbaar

Als extra beveiligingslaag is een OTP maar voor een beperkte tijd te gebruiken. Zelden langer dan een half uur en soms slechts een paar minuten. OTP’s zijn dan ook met name geschikt voor situaties waarin klanten snel kunnen handelen. Bijvoorbeeld als ze achter hun bureau zitten en op hun account proberen in te loggen of wanneer ze aan de kassa staan en willen bevestigen dat een betaling legitiem is.

Dit is een andere reden om SMS als verzendmethode van de OTP de voorkeur te geven boven andere kanalen. Hoewel SMS oorspronkelijk niet is ontworpen als instant messaging-technologie, sturen de meeste wereldwijde mobiele netwerken in de praktijk een SMS-bericht in slechts enkele seconden naar de ontvanger.

OTP's zijn slechts voor eenmalig gebruik!

Bovendien zijn OTP's slechts één keer te gebruiken. Eenmaal verlopen, zijn ze nutteloos. Dezelfde OTP is dan ook niet vaker dan één keer geschikt om in te loggen, zelfs niet binnen de aangegeven tijdsperiode. Dit staat bekend als "non-replay". Zelfs als het makkelijk zou zijn om OTP's te hacken, maakt deze tijdsfactor het hacken van OTP's vrijwel zinloos.

Hoe verstuur je One Time Passwords?

Om gebruik te kunnen maken van OTP's, is het niet nodig om een eigen mobiel netwerk te hebben. Providers zoals CM.com bieden OTP's als een service aan. Met een beveiligd platform voor het ontvangen of initiëren van OTP-verzoeken, het verzenden van de OTP via een tekst of ander kanaal, en het controleren of de OTP correct is ingevoerd zodat de transactie kan doorgaan.

De infrastructuur voor het gebruik van OTP’s integreert via een API met je website of applicatie. Dit is hoe een site "weet" of een ingevoerde OTP correct is of niet, met aanvullende voorzorgsmaatregelen zoals het controleren of het wachtwoord binnen het gestelde tijdvenster is ingevuld. Wanneer je een OTP ontvangt om in te loggen op je bankrekening of een transactie te doen, gebruikt de organisatie geen zelfontwikkelde software, maar die van een OTP-serviceprovider zoals CM.com.

Voordelen van One Time Passwords

OTP's zijn bij veel klanten bekend

Veel van je klanten zullen al bekend zijn met het gebruik van OTP’s en hoef je dan ook niets nieuws te leren. Eenmalige codes zijn inmiddels voor tal van toepassingen een standaard beveiligingsmethode: van het activeren van een bankkaart tot het opnieuw instellen van een wachtwoord. Bovendien, in een wereld met bijna , zal bijna iedereen die een OTP nodig heeft toegang hebben tot een mobiele telefoon.

Bewezen technologie zorgt voor hoge betrouwbaarheid

Eenmalige wachtwoorden die een gebruiker via SMS ontvangt, zijn niet onfeilbaar. OTP's kunnen soms verloren gaan tijdens het transport, maar de overgrote meerderheid wordt binnen een aantal minuten of nog sneller geleverd zoals verwacht. Daarnaast kan een klant in het zeldzame geval dat het dan toch misgaat, gewoon om een ​​andere OTP vragen.

OTP's zijn geschikt voor een groot aantal toepassingen

Bovendien zijn de toepassingen van OTP's legio. Hoewel ze het meest voorkomen in de financiële sector, zijn OTP’s ook steeds vaker te vinden op websites en allerlei soorten apps. De belangrijkste overeenkomst: het zijn allemaal plekken waar het nodig is om de identiteit of toegangsrechten van een gebruiker te verifiëren. Het algemene principe van OTP's is dat ze een extra beveiligingslaag toevoegen aan een reeds beveiligd proces: de meerdere factoren van TFA en SCA.

Het toevoegen van zo’n Multi-Factor Authentication zorgt ervoor dat het account zelfs nog veilig is als het e-mailadres en wachtwoord zijn gecompromitteerd (d.w.z. een kwaadwillende leert ze). Door de extra beveiligingslaag zijn er andere misdaden, zoals het stelen van de mobiele telefoon van de klant, nodig om tot een succesvolle inlogpoging te komen.

Lees ook: De 7 voordelen van Multi-Factor Authenticatie >

One Time Passwords Use Cases

Betaalkaarten activeren

Banken en andere financiële instellingen geven elk jaar miljoenen betaalkaarten uit. Bij elke kaart is het nodig om te bevestigen dat deze in het bezit is van de rechtmatige eigenaar. Zo’n activatie wordt meestal uitgevoerd met een OTP-code, vaak via SMS verzonden naar de telefoon van de klant.

Transacties "buiten het patroon" opmerken

Mensen zijn gewoontedieren en hebben de neiging om keer op keer hetzelfde te handelen. Denk bijvoorbeeld aan het uitgeven van een voorspelbaar bedrag in een supermarkt op eenzelfde dag in de week. Fraudeherkenningssoftware is daarom op dergelijke patronen gebaseerd.

Wanneer een transactie ongebruikelijke kenmerken heeft, van een ander land of een ongebruikelijk bedrag tot een vreemd tijdstip op de dag, wordt de transactie gemarkeerd als "buiten het patroon". Een OTP kan dergelijke situaties vaak oplossen door te bevestigen dat de persoon die de transactie uitvoert wel degelijk de geautoriseerde is.

Transacties van grote bedragen bevestigen

Ook wanneer het bedrag dat met een transactie is gemoeid boven een bepaald niveau ligt, kan een OTP van pas komen. Het eenmalige wachtwoord helpt dan om te bevestigen dat alles naar wens verloopt. In principe werkt het daarmee hetzelfde als het invoeren van een pincode wanneer een contactloze betaling boven een bepaald bedrag ligt. Veel gebruikers waarderen de extra zekerheid die een OTP in dergelijke situaties biedt.

Omgaan met verloren wachtwoorden

Een gebruikscase voor OTP's die veel voorkomt, is het verlies van wachtwoorden. Wachtwoordherinneringen via e-mail zijn steeds zeldzamer, omdat dit vaak niet helemaal veilig is. In plaats daarvan krijgen gebruikers die hun wachtwoord niet meer weten het verzoek om deze te resetten. Met het eenmalige wachtwoord dat zo op verzoek van de gebruiker wordt gegenereerd en verzonden, kan diegene een nieuw wachtwoord instellen voor elke site of app die hij of zij bezoekt.

Toegang tot overheidsdiensten

Overheidsafdelingen zijn vaak verre van geïntegreerd. Hierdoor krijgen burgers afzonderlijke rekeningen voor persoonlijke belastingen, bedrijfsbelastingen, medische dossiers, autorijbewijzen, paspoortaanvragen, enzovoort. OTP's kunnen hierbij als verbindende factor werken waardoor burgers zonder al te veel moeite toegang krijgen tot verschillende overheidsdiensten.

Onbekende apparaten herkennen

De gemiddelde consument beschikt tegenwoordig over meer dan één apparaat. Veel van die apparaten zijn verbonden met mobiele netwerken. Dit kan problemen opleveren voor site- en app-operators, aangezien veel beveiligingsprocessen de inloggegevens van zowel het (al dan niet bekende) apparaat als de gebruiker checken. Dit komt onder meer voor bij streamingsdiensten waarbij verschillende apparaten een login delen of bij apparaten op openbare wifi. Een OTP bevestigt in dit geval dat een nieuw apparaat legitiem is, of juist niet.

Onboarding voor services

Niet alle gebruikscases voor SMS-OTP's draaien om internet en financiën. Bij het "onboarden" van een nieuwe klant om deze kennis laten maken met welke service dan ook, komt de inzet van OTP's om iemands identiteit te bevestigen steeds vaker voor. Of het nu gaat om het toekennen van beveiligingsbadges voor gebouwen tot tickets voor festivals.

Toegang tot privégegevens beperken

Sommige datasets bevatten gevoelige informatie, zoals iemands medische gegevens. Toch moet deze data voor een aantal specifieke gebruikers toegankelijk zijn, denk aan een betrokken arts. OTP's voldoen in zo’n geval aan meerdere belangrijke voorwaarden. Ze verlenen alleen toegang aan de juiste mensen, leggen vast wie toegang tot de data heeft gekregen en laten zien hoe vaak dit is gebeurd.