otp verification что это
OTP — Авторизация при помощи одноразовых паролей
Использование OTP (One Time Password, одноразовый пароль) — это дополнительный уровень безопасности при работе с торговыми счетами. При каждом подключении к счету пользователю требуется ввести уникальный одноразовый пароль.
Чтобы начать использовать одноразовые пароли, необходимо связать свой торговый счет с генератором паролей, в качестве которого выступает мобильная платформа для iPhone или Android.
Включение OTP на iPhone
Зайдите в раздел «Настройки» мобильной платформы и выберите пункт OTP. При первом открытии данного раздела для дополнительной безопасности требуется установить пароль из четырех цифр. Пароль потребуется вводить каждый раз для доступа к генератору паролей.
Если вы забыли пароль доступа к генератору паролей, но используете то же мобильное устройство, переустановите мобильную платформу и привяжите счет к генератору заново. Если вы более не имеете доступа к мобильному устройству, обратитесь к брокеру для сброса привязки к генератору паролей.
В открывшемся окне выберите пункт «Привязать к счету».
Далее укажите имя сервера, на котором открыт торговый счет, номер счета и главный пароль к нему. Опцию «Привязать» следует оставить включенной. Ее необходимо выключать, если вы собираетесь отвязать указанный счет от генератора и больше не использовать одноразовые пароли.
Если вы выполняете перепривязку счета к другому генератору паролей, потребуется дополнительно ввести одноразовый пароль из ранее используемого генератора. Если вы не имеете к нему доступа (например, утеряно мобильное устройство), обратитесь к брокеру для сброса привязки.
После нажатия кнопки «Привязать», расположенной в верхней части окна, торговый счет будет связан с генератором, появится соответствующее сообщение.
Аналогичным образом вы можете привязать неограниченное количество торговых счетов к генератору.
Одноразовый пароль показывается в верхней части раздела OTP. Под ним в виде синей полоски отображается индикатор времени действия данного пароля. Как только время действия истечет, пароль станет недействительным и будет сгенерирован новый.
Включение OTP на устройстве с Android
Если вы забыли пароль доступа к генератору паролей, но используете то же мобильное устройство, переустановите мобильную платформу и привяжите счет к генератору заново. Если вы более не имеете доступа к мобильному устройству, обратитесь к брокеру для сброса привязки к генератору паролей.
В открывшемся окне выберите пункт «Привязать к счету».
Далее укажите имя сервера, на котором открыт торговый счет, номер счета и главный пароль к нему. Опцию «Привязать» следует оставить включенной. Ее необходимо выключать, если вы собираетесь отвязать указанный счет от генератора и больше не использовать одноразовые пароли.
Если вы выполняете перепривязку счета к другому генератору паролей, потребуется дополнительно ввести одноразовый пароль из ранее используемого генератора. Если вы не имеете к нему доступа (например, утеряно мобильное устройство), обратитесь к брокеру для сброса привязки.
После нажатия кнопки «Привязать», расположенной в верхней части окна, торговый счет будет связан с генератором, появится соответствующее сообщение.
Аналогичным образом вы можете привязать неограниченное количество торговых счетов к генератору.
Одноразовый пароль показывается в верхней части раздела OTP. Под ним в виде синей полоски отображается индикатор времени действия данного пароля. Как только время действия истечет, пароль станет недействительным и будет сгенерирован новый.
Использование OTP в платформе
После привязки к генератору при попытке подключения через торговую платформу при помощи торгового счета будет дополнительно запрашиваться одноразовый пароль:
OTPSMS пришло СМС с кодом подтверждения: что это такое
Количество мошенников, орудующих в интернете в поисках легкой наживы, неуклонно растет с каждым днем. Злоумышленникам приходится придумывать новые схемы, которые позволили бы им получить доступ к чужим банковским картам и электронным кошелькам. Если пришло СМС с кодом подтверждения от отправителя OTPSMS – скорей всего аферисты пытаются завладеть конфиденциальной информацией. В следующем материале пойдет речь о мерах предосторожности и способах защиты от мошенничества.
СМС от OTPSMS с кодами подтверждения – кому приходят
Если на телефон начали часто поступать SMS-сообщения от отправителя OTPSMS, вполне возможно, что номер был слит в базу данных. Контакты попадают туда различными путями: их выкачивают специальные боты из социальных сетей, досок объявлений и прочих открытых источников. Однако многие пользователи сами оставляют телефоны при регистрации и заполнении анкет на сомнительных ресурсах. Базы данных сливают некоторые недобросовестные работники банков, микрофинансовых организаций и страховых компаний.
Если пришло сообщение от OTPSMS с проверочным кодом, не стоит раньше времени поддаваться панике. Наиболее вероятная причина единичного СМС – работа программных алгоритмов или скриптов, подбирающих номера для регистрации либо авторизации на различных ресурсах. Смысл подобных рассылок не совсем понятен, так как мошенники не сумеют получить доступ к тексту сообщения, а значит и совершить какие-либо действия от лица владельца номера.
Другая вероятная причина СМС от OTPSMS с кодом – кто-то допустил ошибку в написании своего номера во время регистрации на сайте или создания аккаунта. Если сообщение обладает единичным характером, можно никак не реагировать на него. Однако в случае большого потока SMS (до нескольких за сутки) стоит предпринять определенные меры, поскольку бездействие в подобной ситуации сопряжено со множеством рисков.
Мошенники пытаются получить доступ к аккаунту
Без мобильного телефона невозможно создать аккаунт в большинстве социальных сетей, личный кабинет на различных ресурсах или сделать перевод через онлайн-банкинг. Если раньше идентификация осуществлялась преимущественно через электронную почту, то сегодня для подтверждения личности владельца используется телефон. Соответственно, проверочный код из SMS-сообщения является своеобразным ключом, который открывает перед мошенниками большие возможности.
Способы защиты от подобных СМС
Если на телефон приходят сообщения с кодами подтверждений от знакомых онлайн-сервисов, рекомендуется посетить их и повысить уровень безопасности посредством подключения двухфакторной аутентификации. После активации данной опции для авторизации будет требоваться не только проверочный код из SMS-сообщения, но и комбинация символов из письма, отправленного на электронную почту.
Усиленной защитой пользуется большинство финансовых ресурсов. Для получения подробной информации необходимо обратиться в службу поддержки или прочитать FAQ на официальном сайте сервиса. Стоит зайти в личный кабинет и изменить пароль на более надежный, а также привязать к профилю другую электронную почту. Можно смело игнорировать звонки и СМС-сообщения с требованием предоставить данные, требующиеся для авторизации. Ни один сервис не занимается сбором подобной информации.
Все программы нужно скачивать только из официальных магазинов. Для повышения уровня безопасности рекомендуется установить на свой смартфон антивирусную утилиту вроде Dr.Web, Kaspersky Internet Security, ESET Mobile Security & Antivirus или AVG Antivirus.
Заключение
Если пришло СМС с кодом подтверждения от OTPSMS, можно проигнорировать сообщение либо занести отправителя в черный список. Реагировать на подобные SMS не рекомендуется, поскольку их рассылают мошенники. Для обеспечения полноценной защиты смартфона стоит установить на него программу-блокировщик и антивирус из официального магазина. Специалисты советуют использовать отдельную SIM-карту для привязки к онлайн-банкингу и электронным кошелькам.
Как работают одноразовые пароли
Вступление
Как показывает практика, существует определенное непонимание принципов работы одноразовых паролей (это те самые, которые используются в GMail, в спец. токенах платежных систем и так далее).
Прочитав эту небольшую статью, Вы разберетесь в принципе работы одноразовых паролей на основе хэшей, а заодно напишете на Python небольшую программу, которая умеет вычислять пароли для двухэтапной аутентификации Google.
Хэш-функция
Хэш-функция позволяет взять любые данные любой длины и построить по ним короткий «цифровой отпечаток пальца». Длина значения хэш-функции не зависит от длины исходного текста; например, в случае популярного алгоритма SHA-1 длина этого отпечатка составляет 160 бит.
Чтобы понять, почему значение всегда имеет одинаковую длину и не зависит от исходного текста, можно упрощенно представить хэш-функцию в виде кодового замка с колесиками. Вначале мы выставляем все колесики в «ноль», затем идем по тексту и для каждой буквы прокручиваем колесики в соответствии с некоторыми правилами. То число, которое окажется на замке в конце, и есть значение хэш-функции. Примерами таких функций являются MD5, SHA-1, ГОСТ_Р_34.11-94.
Не придумывайте свои хэш-функции, используйте стандартные реализации (например, в случае Python):
Идея хэш-функции в том, что она работает только в одном направлении: ее очень легко подсчитать для «Войны и мира», но практически невозможно по уже готовому значению хэш-функции найти документ, который даст такое же значение. Даже если изменить в документе всего одну букву, хэш изменится полностью:
В связи с этим возникает естественное желание использовать хэш-функцию для контроля целостности сообщений, которые Алиса посылает Бобу: Алиса подсчитывает для каждого своего сообщения значение SHA-1 и вкладывает его в конверт; Боб, самостоятельно подсчитав SHA-1 текста, может сравнить свой результат с Алисиным и удостовериться, что сообщение не было изменено где-то по дороге.
Однако мы забыли о Меллори, который находится где-то между Алисой и Бобом, перехватывает их переписку и вскрывает конверты! Он вполне может изменить сообщение, после чего подсчитать для него SHA-1 и приложить к письму; Боб сверит значения и ничего не заметит.
Проверка подлинности
Подумав, Алиса и Боб при встрече договариваются, что при подсчете SHA-1 они будут временно дописывать к тексту секретное слово, например, «Secret» (конечно, в реальности Алиса и Боб решили использовать куда более длинное слово, чтобы его было сложно подобрать). Меллори не знает это слово, а следовательно, даже если изменит сообщение, то не сможет скорректировать его хэш, не так ли?
К сожалению, тут есть проблемы. Да, Меллори не может изменить тело сообщения, но (раз он знает хэш от текущего текста) он всегда может дописать в конце «P.S. На самом деле все это чушь, нам пора расстаться, Боб» и просто досчитать хэш от остатка (вспомним аналогию с кодовым замком).
Чтобы защититься от этого, мы немного усложним нашу функцию:
Теперь дописывание чего-либо в конец сообщения полностью изменит исходные данные для «внешнего» вызова SHA-1 и Меллори остается вне игры.
Алиса и Боб только что придумали то, что называется HMAC (или hash-based message authentication code): основанный на хэш-функции код проверки подлинности сообщений. В реальности HMAC, принятый как стандарт RFC2104 выглядит чуть-чуть сложнее за счет выравнивания длины ключа, пары XOR’ов внутри, участия ключа во «внутреннем» хэше, но суть не меняется.
Не придумывайте свои реализации HMAC, используйте стандартные реализации, например, HMAC-SHA1:
Одноразовые пароли
Что такое «одноразовый пароль»? Это пароль, который бесполезно перехватывать с помощью кейлоггера, подглядывания через плечо или прослушивания телефонной линии — т.к. этот пароль используется ровно один раз.
Как можно было бы реализовать эту схему? Например, Алиса может сгененировать сотню случайных паролей и отдать копию Бобу. Когда Боб позвонит в следующий раз, он продиктует самый верхний пароль в списке, Алиса сверит его со своим, после чего оба вычеркнут его. При следующем звонке они используют очередной пароль и так далее, пока они не закончатся. Это не очень удобно: хранение списков, генерация новых паролей и так далее.
Лучше реализовать эту схему в виде алгоритма. Например, паролем является его номер по порядку, умноженный на секретное число. Пусть Алиса и Боб договорились, что секретным числом является 42; тогда первым паролем будет 42, вторым 84, третьим 126 и так далее. Меллори, не знающий алгоритма и секретного числа, никогда не догадается, какой пароль будет следующим!
Конечно, алгоритм лучше выбрать посложнее. Алиса вспоминает про HMAC и предлагает Бобу считать пароль номер N по формуле: HMAC(«Secret», номер-пароля). После этого им нужно договориться о ключе (в данном случае это «Secret»), зато потом Бобу нужно только помнить, какой по счету пароль он генерирует (например, двадцатый):
Впрочем, Бобу совсем не улыбается каждый раз диктовать такой длинный пароль. Они с Алисой договариваются, что будут использовать только его часть, например, последние 6 символов.
Некоторое время все идет хорошо. До момента, пока Бобу и Алисе не надоедает вести подсчет, какой по счету пароль они используют. Кто-то подсказывает им, что в качестве аргумента HMAC() вместо номера можно использовать все, к чему Алиса и Боб имеют одновременный доступ… например, текущее время!
Наши герои синхронизируют свои часы и договариваются, что будут в качестве аргумента HMAC() использовать unix time — количество секунд, прошедших с момента наступления эпохи UNIX (в UTC). Чтобы вводить пароль не торопясь, они решают разделить время на 30 секундные «окна»; таким образом, на протяжении 30 секунд действует один и тот же пароль. Естественно, Алиса, проверяющая пароли, в течение 30 секунд не позволяет использовать пароль повторно (просто запоминая его) и тем самым оставляет его по-настоящему «одноразовым».
Теперь пароль вычисляется по следующей формуле: HMAC(«Secret», unix_timestamp / 30).
Мы получили одноразовые пароли на основе текущего времени. Сгенерировать и проверить эти пароли может только тот, кто обладает ключом («Secret» в примере выше); иначе говоря, сервер и пользователь.
Следует отметить, что одноразовые пароли могут считаться и по другим алгоритмам; главное, чтобы алгоритм и секрет были известны обеим сторонам. Но т.к. у нас есть стандарт, дальше мы будем говорить именно о нем
OATH, TOTP, HOTP, RFC… WTF?
Итак, мы только что описали основные идеи, лежащие в основе:
1) HMAC, hash-based message authentication code: RFC2104
2) HOTP, hash-based one-time password: RFC4226
3) TOTP, time-based one-time password: RFC6238
Эти идеи — один из краеугольных камней инициативы Initiative For Open Authentication (OATH), направленной на стандартизацию методов аутентификации.
Двухэтапная аутентификация Google
Одноразовые пароли, основанные на времени (и подсчитываемые на основе алгоритма TOTP RFC 6238) используются также компанией Google в приложении Google Authenticator, которое можно установить на iOS, Android, BlackBerry. Это приложение автоматически генерирует одноразовые пароли раз в 30 секунд (в дополнение к основному паролю на Google Account). Это означает, что даже если Ваш основной пароль кто-то подглядит или перехватит, без очередного одноразового пароля в систему войти будет невозможно. Удобно.
ВНИМАНИЕ : Я НЕ НЕСУ НИКАКОЙ ОТВЕТСТВЕННОСТИ ЗА ВАШИ ДЕЙСТВИЯ С ВКЛЮЧЕНИЕМ И ВЫКЛЮЧЕНИЕМ ДВУХЭТАПНОЙ АУТЕНТИФИКАЦИИ GOOGLE; ВЫ СОГЛАСНЫ, ЧТО ВЫ ВЫПОЛНЯЕТЕ ИХ НА СВОЙ СТРАХ И РИСК.
На самом деле там нет ничего страшного (есть инструкции, есть trusted-компьютеры, есть резервные коды и т.д.), но если от души постараться, бездумно нажимая на кнопки, то вполне можно лишиться доступа к своему аккаунту. И все же: если не готовы экспериментировать, не трогайте Gmail; просто скачайте приложение Google Authenticator на телефон, вручную добавьте «ключ по времени» (например, «a abc def abc def abc» или просто отсканируйте QR-код ниже).
Для начала нам нужно получить секретный ключ, который используется для создания одноразового пароля. Его можно посмотреть на странице добавления Google Authenticator’а в настройках аккаунта, он находится под QR-кодом:
Обратите внимание, что если двухэтапная аутентификация уже включена, то старый ключ узнать нельзя: придется удалить старый и сгенерировать новый. Это несложно; главное, не забыть сразу обновить ключ и в Google Authenticator, если Вы им пользуетесь.
Ключ закодирован в Base32 (для удобства уберите пробелы и переведите буквы в верхний регистр).
Программа, которая подсчитывает текущий одноразовый пароль:
Теперь можно положить рядом запущенный Google Authenticator и сравнить значения.
upd #2: если хотите поиграть с 2-step verification от dropbox, в конце секрета допишите «======» (это необходимо для паддинга и корректной работы base32-декодера).
WordPress.org
Русский
Email Verification / SMS Verification / OTP Verification
Описание
SMS & EMAIL OTP VERIFICATION / WOOCOMMERCE SMS NOTIFICATION
OTP Verification verifies Email Address/Mobile Number of users by sending OTP verification code during registration, login and contact form submissions. It removes the possibility of users registering with fake Email Address/Mobile Number by enabling OTP Verification. The OTP Verification plugin also checks if Email Address/Mobile Number of a user already exists. The OTP Verification plugin includes WooCommerce SMS Notification and Ultimate Member SMS Notification along with other addons listed below. The plugin ships with 10 free email and 10 free SMS transactions.
THIRD PARTY CUSTOM SMS GATEWAY FOR OTP Varification and SMS Notifications ( OTP Verification )
In our OTP Plugin you can use any of your own third party gateway for sending the SMS/Email.
You can also choose to go with our miniOrange gateway to perform OTP verification over Phone and Email or to send custom SMS notifications. We support OTP Verification worldwide.
* Some Famous Gateways Supported for OTP and SMS ( OTP ):
* Twilio : Twilio
* Clickatell : Clickatell
* ClickSend : ClickSend
* SendGrid : SendGrid
* Plivo : Plivo
* AWS SNS : AWS SNS
* Msg91 : Msg91
Check the list of few of our supported SMS gateways here : SMS Gateways
Others not listed can be tested on our site, Test your Gateway: Custom Gateway
Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
WHATSAPP OTP VERIFICATION & NOTIFICATIONS
In our OTP Plugin you can enable OTP Verification via WhatsApp as well as send custom messages & notifications on WhatsApp.
Enables order status notifcations, new account notifications and many more on WhatsApp.
Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
FREE AND PREMIUM OTP VERIFICATION ADDONS SUPPORTED
Follow the link for detailed information on the free and premium addons supported in the OTP Verification plugin : OTP Verification Addons Supported
WOOCOMMERCE SMS NOTIFICATION
This is an add-on which allows your site to send automated WooCommerce order and WooCommerce sms notifications to buyers, sellers and admins. Buyer and seller both can get SMS notification after an order is placed or when the order status changes. SMS notification options can be customized in the admin panel very easily. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
PASSWORDLESS LOGIN
Passwordless Login is a modern way of logging into your WordPress site without the use of a password. The plugin allows you to easily setup Passwordless Login for your site. Users would now be able to log in using their Username and OTP. If you wish to allow our users to fallback to Username and Password then the plugin allows that as well. WooCommerce support.
REGISTER USING PHONE NUMBER ONLY
This is an add-on which allows Registration on your WordPress site using only Phone Number instead of Email address or Username. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
WOOCOMMERCE PASSWORD RESET OVER OTP
This is an add-on which replaces the existing WooCommerce Password reset functionality with OTP Verification. Allow users to reset their password using OTP Verification instead of email links. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
SEND CUSTOM MESSAGE
This is an add-on which allows you to send customized SMS or EMAIL Messages to any Mobile Number or Email Address. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
ULTIMATE MEMBER SMS NOTIFICATION
This is an add-on which allows your site to send automated Ultimate Member notifications to admins and users. SMS notification options can be customized in the admin panel very easily. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
ULTIMATE MEMBER PASSWORD RESET OVER OTP
This is an add-on which replaces the existing Ultimate Member Password reset functionality with OTP Verification. Allow users to reset their password using OTP Verification instead of email links. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
OTP FOR SELECTED COUNTRIES
This is an add-on which allows OTP Verification to be enabled for selected list of countries only. OTP Verification for any other country out of the selected list will be blocked by the addon. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
BULK SMS AND OTP
This is an add-on which allows Admin to send Custom SMS and OTP Verification codes in bulk. Upload the CSV file or enter the numbers manually along with the SMS template that needs to be sent in bulk. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
LIMIT OTP REQUEST
This is an add-on which allows Blocking of OTP codes from being sent out before the set timer is up. This Addon helps in limiting malicious users or unwanted OTP requests to be made by blocking the user for the time limit set. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
OTP OVER PHONE CALL
This is an add-on which allows OTP Verification over Phone Call instead of SMS. The code will be received via a phone call to the customer. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
VERIFICATION VIA EMAIL LINK
This is an add-on which allows User Verification via accept/rejects links receieved on the email instead of OTP codes. Contact us at otpsupport@xecurify.com/info@xecurify.com to know more.
OTP VERIFICATION FOR ANDROID/IOS APPS
This is an add-on which provides APIs to connect your WordPress site and mobile application for OTP Verification. **OTP generating and validating APIs are included. Contact us at **otpsupport@xecurify.com/info@xecurify.com to know more.
Supported Forms
How does this plugin work?
How is this plugin better than other plugins available?
SUPPORT
Customized solutions and Support options are available. Email us at otpsupport@xecurify.com/info@xecurify.com.
Скриншоты
Установка
Из вашей консоли WordPress
Из WordPress.org
Часто задаваемые вопросы
Why am I required to register?
Our very simple and easy registration saves your time of configuring WordPress email settings. You don’t need to configure your own SMTP(Simple Mail Transfer Protocol) gateway, our SMTP gateway is used for sending OTP.
Which forms are supported right now?
WordPress default registration form, WooCommerce registration form, WooCommerce checkout form, WooCommerce Social Login form, ProfileBuilder registration form, Simplr registration form, Ultimate Member registration form, BuddyPress registration form, Custom User registration form builder [ RegistrationMagic ], Users Ultra registration form, User Profiles Made Easy registration form, PIE Registration Form, Contact Form 7, Ninja Forms, Theme My Login, UserPro Plugin, GravityForms, Default WordPress Login Form, WP-Members, Indeed Ultimate Membership Pro, Classify Theme, RealesWP Theme, WP eMember Form, FormCraft Form, WordPress Comments, DocDirect Theme, WpForms, Caldera Forms, MemberPress, MultiSite Registration Form, Paid Membership Pro, Real Estate 7 Pro, Ultimate Member Password Reset Form, Ultimate Member Profile/Accounts Page, Profile Builder Registration Form, Ultimate Member Login Form, UserProfile Made Easy Registration Form, User Ultra Registration Form, Form Maker Form, Woocommerce Product Vendor Registration Form, WooCommerce Billing Address Form, Visual Form Builder, Formidable Form, Elementor PRO Form, WCFM Form, User Registration Form