โครงการวิจัยเรื่อง ระบบรหัสผ่านแบบใช้งานครั้งเดียวที่เสริมสร้างความมั่นคง

Abstract

ในระบบพิสูจน์ตัวจริงแบบพนุปัจจัย รหัสผ่านใช้ครั้งเดียว หรือที่เรียกว่า โอทีพี เป็นส่วนประกอบที่สำคัญและถูกใช้งานอย่างกว้างชวางที่สุดอันหนึ่ง โดยทั่วไป มันจะถูกใช้เป็นปัจจัยที่สอง ในการพิสูจน์ตัวจริง เพื่อป้องกันระบบในกรณีที่รหัสผ่าน (ซึ่งเป็นปัจจัยการพิสูจน์ตัวจริงแรก) เกิดมีการรั่วไหล ในงานวิจัยนี้ ได้วิเคราะห์ปัญหาด้านความมั่นคงของระบบโอทีพีที่มีในปัจจุบัน และได้ออกแบบและพัฒนาต้นแบบของระบบโอทีพีใหม่ โดยเสริมสร้างความมั่นคง ซึ่งระบบโอทีพีที่เสนอประกอบด้วย เว็บเซอร์วิสโอทีพี และโปรแกรมโอทีพีบนโทรศัพท์มือถือ โดยการเสริมสร้างความมั่นคงที่เสนอได้แก่ (1) การแก้ไขอัลกอริธึมรหัสผ่านใช้ครั้งเดียวที่มีฐานจากเวลา โดยใช้ SHA-256 แทน SHA1, (2) การปรับปรุงโหมดการแสดงผลของโอทีพี: num6, mix6base40, th6base42, th6base60 (3) คุณสมบัติการล็อกโอทีพีเข้ากับฮาร์ดแวร์ของโทรศัพท์มือถือ, (4) การตรวจสอบหมายเลขที่อยู่ไอพีที่เรียกใช้ระบบเว็บเซอร์วิสโอทีพีนอกจากนี้ งานวิจัยนี้ได้ทำการทดลองกับระบบต้นแบบที่พัฒนาขึ้น เพื่อประเมินระบบโอทีพีที่ได้ได้ออกแบบ ผลการทดลองได้แสดงให้เห็นถึงประสิทธิภาพและความมั่นคงของระบบ

In multi-factor authentication systems, One Time Password (OTP) is one of the most important and widely deployed components. Generally, it is used as the second authentication factor to protect the system if the password (as the first authentication factor) is leaked. In this work, we have analyzed the security issues of current OTP systems, and propose to design and develop a prototype of a new OTP system, with an enhancement of security. The proposed system consists of OTP Web Services and mobile OTPapplication. The proposed security enhancement are as follows: (1) the modification of TOTP algorithm, based on SHA-256 instead of SHA-1, (2) enhanced OTP representation modes: num6, mix6base40, th6base42, th6base60 (3) the mobile hardware- locking feature, (4) the IP address checking at the OTP web services. In addition, experiments have been done on the prototype program to evaluate the proposed OTP system. The experimental results have demonstrated the efficiency and security of the system.