Одноразовый пароль OTP — временный код, который генерируется для идентификации личности пользователя при входе в систему или совершении определённых операций: например, подтверждение покупки. Он создаётся на основе уникальной комбинации цифр и символов и действителен только один раз.
OTP — один из шагов к мультифакторной аутентификации 2FA, помогающей защитить конфиденциальную информацию клиентов и предотвратить мошенничество.
2FA стала обязательной для 150 миллионов пользователей ещё в 2021 году. В 2020 правительство США потратило $18,8 млрд на восстановление ресурсов после хакерских атак, а в мае 2021 из-за взлома крупнейшая трубопроводная система в США Colonial Pipeline была отключена. Атака вызвала дефицит бензина и дизеля, подняла цены на газ и вызвала волну панических закупок бензина впрок. Виной всему стала утечка пароля, привязанного к учётной записи VPN, которую использовали для удалённого доступа к серверам компании. Его не защитили двухфакторной аутентификацией. Хакеры зашли в аккаунт, используя лишь логин и пароль.
Сетевые преступники заинтересованы не только во взломе крупного бизнеса, но и в краже личных кабинетов частных лиц. Одна только сфера E-commerce сталкивается с 206 000 атак каждый месяц. Чтобы защитить бизнес и данные своих клиентов, рассмотрите 2FA (или MFA), использующие одноразовый пароль.
Самый популярный метод проверки — отправка SMS. Абсолютно все мобильные телефоны поддерживают эту функцию, для её использования не требуется установка дополнительных приложений. Злоумышленник не сможет использовать SMS повторно для получения доступа к системе или конфиденциальной информации, даже если ему удастся перехватить сообщение. Подобрать код практически невозможно: генерация OTP основана на уникальной комбинации цифр и символов.
Как происходит генерация OTP с помощью API
-
Генерация пароля на сервере компании
-
Автоматическое сохранение в базе данных компании
-
Автоматическая отправка запроса в SMS API
-
Отправка SMS c OTP клиенту. Например, через МТС Exolve
В случае интеграции решения через API отправку одноразового пароля можно полностью автоматизировать. Легко изменить канал отправки и записывать попытки входа в систему в карточку клиента.
Примеры решений для генерации OTP
-
Использование библиотеки генерации случайных чисел для создания случайной строки заданной длины
-
Применение хеш-функций для преобразования случайного числа в строку, которая будет использоваться в качестве OTP
-
На основе текущего времени и секретного ключа. Для этого в Python есть отдельная библиотека PyOTP. Секретный ключ можно создать с помощью функции random_base32()
-
Генерация пароля на стороне сервера и отправка его через API по SMS или почте
Настройка одноразовых паролей от МТС Exolve
Чтобы реализовать отправку OTP через МТС Exolve, следуйте алгоритму:
-
Добавьте на платформу своё приложение через Личный Кабинет SMS API
-
Настройте генерацию OTP. Внешние генераторы не нужны, выполняется одной командой на сервере
-
Включите автоматическую отправку SMS, настроив интеграцию по API по одному из поддерживаемых платформой протоколов.
Кейсы
Приложение для онлайн-банкинга
В личном кабинете пользователя есть доступ к его личным финансам, переводам, конфиденциальной информации: документам, договорам, транзакциям и данным контрагентов, если клиент — юрлицо. Разработчик интегрировал генерацию одноразовых паролей через API от МТС Exolve. Автоматически при входе в приложение пользователь получает SMS с одноразовым паролем либо звонок с данными, которые нужно ввести вместе с логином и паролем для успешной аутентификации.
По оценке внутреннего аналитика, это повысило уровень безопасности приложения на 44% и защитило пользователей от кражи личных данных. Максимальная защита крайне актуальна для этого бизнеса, ведь только в одном квартале 2022 года хакерам удалось украсть 4 млрд рублей со счетов россиян.
Сеть частных клиник
Для доступа в приложение, в котором хранится история болезни пациента, необходимо ввести одноразовый пароль. Бизнесу важно, чтобы конфиденциальная информация пациентов была недоступна третьим лицам. Внедрили решение через API с использованием библиотеки генерации случайных чисел. Опрос пациентов показал, что это увеличило лояльность к клинике более чем 70% постоянных посетителей, так как убедило их в бережном отношении и заботе об их чувствах.
Заключение
Забота о потребителях — фактор успеха для бизнеса XXI века. Если клиенты вашей компании имеют ЛК в системе, вы должны защитить их данные. Это особенно актуально для банков, медицинской сферы и даже онлайн-магазинов.
CPaaS открывает путь к гораздо большему набору решений внутри одного приложения. Неважно, какие именно инструменты нужно внедрить: чат-ботов, SMS и почтовые рассылки, IVR-меню и телефонию, мессенджеры и социальные сети. CPaaS — платформа, которая всегда поддержит интеграцию новых функций в приложение бизнеса, а значит, расширение и развитие компании.