One-Time Password Implementation for Two-Factor Authentication

Abstract

The purpose of this work is to present different ways of implementing two-factor authentication for an online biobank system and implement one such system both on the server side and as a mobile application.

First the threats against medical systems are presented showing the reasoning for greater security. The type of information stored in these systems and the desirability of the information for attackers is explained. General legislation is presented by examples from the United States of America as well as Finland. Then the possible authentication methods and basic cryptography are explained. The chosen implementation is shown with the algorithms used.

The work succeeded in implementing the system using time-based one-time passwords as presented in existing work but extending it by using newer cryptographic methods and longer passwords to enhance the security even further. A few further enhancements are explained that could be implemented in the future.

Työn tarkoitus on esittää toteutusvaihtoehtoja kaksivaiheiseen autentikointiin verkkopohjaisessa biopankkijärjestelmässä ja toteuttaa yksi näistä sekä palvelinpuolella että mobiiliapplikaationa.

Ensin esitellään lääketieteellisten järjestelmien uhkia sekä syitä parempaan turvallisuuteen johtuen talletettavien tietojen arkaluonteisuudesta sekä tietojen kiinnostavuudesta hyökkääjille. Aiheeseen liittyvää lainsäädäntöä käydään läpi Suomen ja Amerikan Yhdysvaltojen osalta.

Mahdollisia autentikaatiotapoja selitetään sekä annetaan perustietoja kryptografisista menetelmistä. Esitetään valittu toteutus ja käytetyt algoritmit.

Kertakäyttöiset salasanat toteutettiin aikapohjaisina aiemmin esitettyjen määritelmien mukaisesti, mutta käyttäen uudempia kryptografisia menetelmiä ja pitempiä salasanoja parantaen turvallisuutta entisestään. Muutamia mahdollisia jatkokehitysaiheita esitetään.