Yandex.Metrika
0
1 месяц
Словарь

Одноразовый пароль (OTP)

Одноразовый пароль (от англ. One-Time Password, принято сокращение OTP) — это временная комбинация символов, созданная для однократной идентификации пользователя. В отличие от постоянного пин-кода, этот код теряет силу сразу после входа или спустя несколько десятков секунд, даже если его так и не применили.

Содержание
  1. Как это выглядит
  2. Зачем он нужен
  3. Виды OTP, с которыми сталкиваются
  4. Технические нюансы для понимания
  5. Чего ждать в 2026 году
  6. Ошибки и заблуждения

Как это выглядит

Представьте: вы заходите в «СберБанк Онлайн» с нового телефона. Система просит не только обычный пароль, но и шесть цифр из SMS. Вот эти шесть цифр и есть OTP. Ими нельзя воспользоваться через час — они «сгорают». То же самое: код из push-уведомления, цифры с брелока «Токен» или тайные значения из приложений вроде «Яндекс Ключ» или «Google Authenticator».

Зачем он нужен

Злоумышленники давно научились воровать обычные пароли: через фишинг, утечки баз данных или программы-шпионы. Одноразовый код спасает, потому что его перехват почти бесполезен. Пока хакер пытается его применить, OTP устаревает. Это добавляет второй фактор защиты к логину и постоянному паролю — так работает двухфакторная аутентификация (2FA).

Виды OTP, с которыми сталкиваются

  1. SMS/Push-коды — самый распространённый вариант у российских банков, «Госуслуг», Wildberries, Ozon. Минус: их могут перехватить через подмену SIM или вредоносное ПО на смартфоне.
  2. TOTP (Time-based) — код, который меняется каждые 30 секунд в приложении-аутентификаторе. Даже если вас «развели» на фишинговом сайте, пока вы введёте TOTP, он станет старым. Примеры: «Яндекс.Паспорт», аккаунты Microsoft, VK ID.
  3. Аппаратные токены — брелоки с экранчиком (etoken, «Рутокен», Jacarta). Используют в корпоративной среде и для входа в госсистемы. Надёжнее смартфона, но носить с собой неудобно.
  4. Списки резервных кодов — набор OTP в конверте или PDF-файле. Человек их распечатывает. Каждый код действует один раз. Их выдают, например, при настройке 2FA на «Госуслугах» или в аккаунте Google на случай потери телефона.

Технические нюансы для понимания

OTP никогда не хранится на сервере в открытом виде. Обычно там лежит только «хеш» (свёртка) предыдущего успешного кода или общий секретный ключ, подписанный временной меткой. Алгоритм генерации общеизвестен — например, HOTP (счётчик событий) или TOTP (стандарт RFC 6238). Суть: сервер и ваш токен или приложение знают одно и то же зерно («seed»), но подставляют в формулу текущее время или номер попытки. Так они независимо выдают одинаковые шесть цифр.

Чего ждать в 2026 году

Из-за ухода западных вендоров и ограничений с международными SMS многие организации в РФ переходят на отечественные OTP-решения: коды через портал «Госуслуги», в мессенджере (VK, «ТамТам»), через биометрию или в программе «Госключ». Зарубежные привязанные к серверам США и ЕС TOTP-генераторы постепенно заменяют локальными аналогами, совместимыми с законом «О связи» и 152-ФЗ.

Ошибки и заблуждения

  • «Мне прислали код из шести цифр — продиктую другу, чтобы вошёл». Нельзя: одноразовый пароль даже по просьбе «коллеги» или «службы безопасности» запрещено передавать никому. Это ваш личный ключ к сессии.
  • «Если я не нажал „отправить“, код никто не использует». Злоумышленник может запустить перебор за секунду до истечения OTP, если вы сохранили его в незащищённой заметке.
  • «Без интернета OTP не получить». Для TOTP интернет не нужен — только синхронизация часов. Брелки с генерацией работают вообще автономно годами.

Одноразовый пароль — это цифровой одноразовый пропуск. Он защищает ваш аккаунт от кражи даже в случае, если постоянный пароль слили в открытые базы. Главное — не храните OTP в блокноте телефона и игнорируйте звонки с просьбой назвать «код из СМС».

Словарь Лайфкод
Мы используем cookie и сервис Яндекс.Метрика