Parolele unice bazate pe timp (TOTP) sunt algoritmul standard de computer cu parolă unică. Ei extind parola unică a codului de autentificare a mesajelor bazate pe hash (HMAC) (parola unică bazată pe HMAC sau, pe scurt, HOTP).
TOTP-urile pot fi utilizate în locul sau ca un factor suplimentar alături de cei doi factori tradiționali, cu viață mai lungă. soluții de autentificare, cum ar fi mesaje SMS sau jetoane hardware fizice care pot fi furate sau uitate uşor. Deci, ce sunt exact parolele unice bazate pe timp? Cum funcționează?
Ce este un TOTP?
TOTP este o parolă temporară, de unică folosință, generată în conformitate cu ora curentă de un algoritm pentru autentificarea utilizatorului. Este un strat suplimentar de securitate pentru conturile dvs. pe care se bazează autentificare cu doi factori (2FA) sau autentificare multifactor
(MFA). Aceasta înseamnă că, după ce ați introdus numele de utilizator și parola, vi se cere să introduceți un anumit cod care este bazat pe timp și de scurtă durată.TOTP este numit astfel deoarece folosește un algoritm standard pentru a elabora o parolă unică și numerică unică folosind Greenwich Mean Time (GMT). Adică, parola este generată de la ora curentă în perioada respectivă. Codurile sunt, de asemenea, generate dintr-un secret partajat sau un cod de acces secret furnizat la înregistrarea utilizatorului la serverul de autentificare, fie prin coduri QR, fie prin text simplu.
Această parolă este afișată utilizatorului, care se așteaptă să-l folosească pentru un timp specificat, după care expiră. Utilizatorii introduc codul de acces unic, numele de utilizator și parola obișnuită într-un formular de conectare într-un timp limitat. După expirare, codul nu mai este valabil și nu poate fi folosit într-un formular de autentificare.
TOTP-urile includ un șir de coduri numerice dinamice, de obicei între patru și șase cifre, care se schimbă la fiecare 30 până la 60 de secunde. Internet Engineering Task Force (IETF) a publicat TOTP, descris în RFC 6238și folosește un algoritm standard pentru a obține o parolă unică.
Membrii Inițiativa pentru autentificare deschisă (OATH) sunt creierul din spatele inventiei lui TOTP. A fost vândut exclusiv sub brevet, iar de atunci diferiți furnizori de autentificare l-au comercializat în urma standardizării. În prezent este utilizat pe scară largă de către aplicație cloud furnizorii. Sunt ușor de utilizat și sunt disponibile pentru utilizare offline, ceea ce le face ideale pentru utilizare în avioane sau atunci când nu aveți acoperire de rețea.
Cum funcționează un TOTP?
TOTP-urile, ca al doilea factor de autorizare pentru aplicațiile dvs., oferă conturilor dvs. un nivel suplimentar de securitate, deoarece trebuie să furnizați codurile numerice unice înainte de a vă conecta. Ele sunt denumite în mod popular „jetoane software”, „semnificative soft” și „autentificare bazată pe aplicații” și își găsesc utilizare în aplicațiile de autentificare ca Google Authenticator și Authy.
Modul în care funcționează este că, după ce ați introdus numele de utilizator și parola contului, vi se solicită să adăugați un cod TOTP valid într-o altă interfață de conectare ca dovadă că dețineți contul.
În unele modele, TOTP vă ajunge pe smartphone printr-un mesaj text SMS. De asemenea, puteți obține codurile de la o aplicație de autentificare pentru smartphone prin scanarea unei imagini QR. Această metodă este cea mai utilizată, iar codurile expiră de obicei după aproximativ 30 sau 60 de secunde. Cu toate acestea, unele TOTP-uri pot dura 120 sau 240 de secunde.
Codul de acces este creat de partea dvs. în loc de serverul folosind aplicația de autentificare. Din acest motiv, aveți întotdeauna acces la TOTP, astfel încât serverul să nu fie nevoie să trimită un SMS de fiecare dată când vă conectați.
Există și alte metode prin care vă puteți obține TOTP:
- Jetoane de securitate hardware.
- Mesaje de e-mail de pe server.
- Mesaje vocale de pe server.
Deoarece TOTP este bazat pe timp și expiră în câteva secunde, hackerii nu au suficient timp pentru a anticipa codurile dvs. de acces. În acest fel, oferă securitate suplimentară sistemului mai slab de autentificare a numelui de utilizator și a parolei.
De exemplu, doriți să vă conectați la stația de lucru care utilizează TOTP. Mai întâi introduceți numele de utilizator și parola pentru cont, iar sistemul vă solicită un TOTP. Apoi îl puteți citi din simbolul dvs. hardware sau din imaginea QR și îl puteți introduce în câmpul de conectare TOTP. După ce sistemul autentifică parola, te conectează în contul tău.
Algoritmul TOTP care generează parola necesită introducerea orei dispozitivului dvs. și semințele sau cheia dvs. secretă. Nu aveți nevoie de conexiune la internet pentru a genera și verifica TOTP, motiv pentru care aplicațiile de autentificare pot funcționa offline. TOTP este necesar pentru utilizatorii care doresc să își folosească conturile și au nevoie de autentificare în timpul călătoriilor cu avioane sau în zone îndepărtate în care conectivitatea la rețea nu este disponibilă.
Cum este autentificat TOTP?
Următorul proces oferă un ghid simplu și scurt despre cum funcționează procesul de autentificare TOTP.
Când un utilizator dorește acces la o aplicație precum o aplicație de rețea cloud, i se cere să introducă TOTP după ce a introdus numele de utilizator și parola. Ei solicită activarea 2FA, iar simbolul TOTP utilizează algoritmul TOTP pentru a genera OTP.
Utilizatorul introduce jetonul pe pagina de solicitare, iar sistemul de securitate își configurează TOTP folosind aceeași combinație de timp curent și secretul sau cheia partajată. Sistemul compară cele două coduri de acces; dacă se potrivesc, utilizatorul este autentificat și i se acordă acces. Este important de reținut că majoritatea TOTP se va autentifica cu coduri QR și imagini.
TOTP vs. Parolă unică bazată pe HMAC
Parola unică bazată pe HMAC a oferit cadrul pe care a fost construit TOTP. Atât TOTP, cât și HOTP au similarități, deoarece ambele sisteme folosesc o cheie secretă ca una dintre intrările pentru generarea codului de acces. Cu toate acestea, în timp ce TOTP folosește ora curentă ca cealaltă intrare, HOTP folosește un contor.
Mai mult, din punct de vedere al securității, TOTP este mai sigur decât HOTP deoarece parolele generate expiră după 30 până la 60 de secunde, după care se generează una nouă. În HOTP, parola rămâne valabilă până când îl utilizați. Din acest motiv, mulți hackeri pot accesa HOTP-uri și le pot folosi pentru a efectua atacuri cibernetice cu succes. Chiar dacă HOTP este încă folosit de unele servicii de autentificare, cele mai populare aplicații de autentificare necesită TOTP.
Care sunt beneficiile utilizării unui TOTP?
TOTP-urile sunt benefice deoarece vă oferă un nivel suplimentar de securitate. Numai sistemul nume de utilizator-parolă este slab și este supus în mod obișnuit Atacurile de la Omul din mijloc. Cu toate acestea, cu sistemele 2FA/MFA bazate pe TOTP, hackerii nu au suficient timp pentru a vă accesa TOTP chiar dacă v-au furat parola tradițională, așa că au puține șanse să vă pirateze conturi.
Autentificarea TOTP oferă securitate suplimentară
Infractorii cibernetici vă pot accesa cu ușurință numele de utilizator și parola și vă pot sparge contul. Cu toate acestea, cu sistemele 2FA/MFA bazate pe TOTP, puteți avea un cont mai sigur, deoarece TOTP-urile sunt limitate în timp și expiră în câteva secunde. Implementarea TOTP merită în mod clar.
