Базираните на времето еднократни пароли (TOTP) са стандартният компютърен алгоритъм за еднократна парола. Те разширяват еднократната парола на базата на хеш код за удостоверяване на съобщения (HMAC) (HMAC-базирана еднократна парола или накратко HOTP).
TOTP могат да се използват вместо или като допълнителен фактор заедно с традиционните двуфакторни с по-дълъг живот решения за удостоверяване, като SMS съобщения или физически хардуерни токени, които могат да бъдат откраднати или забравени лесно. И така, какво точно са базираните на времето еднократни пароли? Как действат?
Какво е TOTP?
TOTP е временна парола за еднократна употреба, генерирана в съответствие с текущото време от алгоритъм за удостоверяване на потребителя. Това е допълнителен слой на сигурност за вашите акаунти, който се основава на двуфакторна автентификация (2FA) или многофакторно удостоверяване
(МВнР). Това означава, че след като сте въвели вашето потребителско име и парола, от вас се изисква да въведете конкретен код, който е базиран на време и е краткотраен.TOTP е наречен така, защото използва стандартен алгоритъм за изработване на уникална и цифрова еднократна парола, използвайки средно време по Гринуич (GMT). Тоест паролата се генерира от текущото време през този период. Кодовете също се генерират от споделена тайна или секретна начална парола, предоставена при регистрация на потребител в сървъра за удостоверяване, чрез QR кодове или обикновен текст.
Тази парола се показва на потребителя, който се очаква да я използва за определено време, след което тя изтича. Потребителите въвеждат еднократната парола, своето потребителско име и обикновена парола във формуляр за вход в рамките на ограничен период от време. След изтичане кодът вече не е валиден и не може да се използва във формуляр за вход.
TOTPs включват низ от динамични цифрови кодове, обикновено между четири и шест цифри, които се променят на всеки 30 до 60 секунди. Internet Engineering Task Force (IETF) публикува TOTP, описан в RFC 6238и използва стандартен алгоритъм за получаване на еднократна парола.
Членове на Инициатива за отворено удостоверяване (OATH) са мозъкът зад изобретението на TOTP. Той се продаваше изключително с патент и оттогава различни доставчици на удостоверяване го пуснаха на пазара след стандартизация. В момента се използва широко от облачно приложение доставчици. Те са лесни за използване и достъпни за офлайн употреба, което ги прави идеални за използване в самолети или когато нямате мрежово покритие.
Как работи TOTP?
TOTP, като втори фактор за оторизация на вашите приложения, предоставят на вашите акаунти допълнителен слой сигурност, защото трябва да предоставите еднократните цифрови пароли, преди да влезете. Те са популярно наричани „софтуерни токени“, „меки токени“ и „удостоверяване, базирано на приложение“ и намират приложение в приложенията за удостоверяване като Google Authenticator и Authy.
Начинът, по който работи, е, че след като въведете потребителското име и паролата на акаунта си, ще бъдете подканени да добавите валиден TOTP код в друг интерфейс за влизане като доказателство, че притежавате акаунта.
При някои модели TOTP достига до вас на вашия смартфон чрез текстово SMS съобщение. Можете също да получите кодовете от приложение за смартфон за удостоверяване, като сканирате QR изображение. Този метод е най-широко използваният и кодовете обикновено изтичат след около 30 или 60 секунди. Някои TOTP обаче могат да продължат 120 или 240 секунди.
Паролата се създава от ваша страна, вместо сървърът да използва приложението за удостоверяване. Поради тази причина винаги имате достъп до вашия TOTP, така че сървърът да не е необходимо да изпраща SMS всеки път, когато влезете.
Има и други методи, чрез които можете да получите своя TOTP:
- Хардуерни токени за сигурност.
- Имейл съобщения от сървъра.
- Гласови съобщения от сървъра.
Тъй като TOTP е базиран на времето и изтича за секунди, хакерите нямат достатъчно време, за да предвидят вашите пароли. По този начин те осигуряват допълнителна сигурност на по-слабата система за удостоверяване на потребителско име и парола.
Например искате да влезете във вашата работна станция, която използва TOTP. Първо въвеждате вашето потребителско име и парола за акаунта и системата ви подканва да въведете TOTP. След това можете да го прочетете от вашия хардуерен токен или QR изображението и да го въведете в полето за вход TOTP. След като системата удостовери паролата, тя ви влиза във вашия акаунт.
Алгоритъмът TOTP, който генерира паролата, изисква въвеждането на времето на вашето устройство и вашето тайно семе или ключ. Не се нуждаете от интернет връзка, за да генерирате и проверите TOTP, поради което приложенията за удостоверяване могат да работят офлайн. TOTP е необходим за потребители, които искат да използват своите акаунти и се нуждаят от удостоверяване по време на пътуване със самолет или в отдалечени райони, където мрежовата свързаност не е налична.
Как се удостоверява TOTP?
Следният процес предоставя просто и кратко ръководство за това как работи процесът на TOTP удостоверяване.
Когато потребител иска достъп до приложение като облачно мрежово приложение, той получава подкана да въведе TOTP, след като въведе своето потребителско име и парола. Те изискват 2FA да бъде активиран и TOTP токенът използва алгоритъма TOTP, за да генерира OTP.
Потребителят въвежда токена на страницата за заявка и системата за сигурност конфигурира своя TOTP, като използва същата комбинация от текущото време и споделената тайна или ключ. Системата сравнява двата парола; ако съвпадат, потребителят се удостоверява и получава достъп. Важно е да се отбележи, че повечето TOTP ще се удостоверяват с QR кодове и изображения.
TOTP срещу. Еднократна парола, базирана на HMAC
Базираната на HMAC еднократна парола предостави рамката, върху която беше изграден TOTP. И TOTP, и HOTP споделят прилики, тъй като и двете системи използват таен ключ като един от входовете за генериране на парола. Въпреки това, докато TOTP използва текущия час като друг вход, HOTP използва брояч.
Освен това, по отношение на сигурността, TOTP е по-сигурен от HOTP, тъй като генерираните пароли изтичат след 30 до 60 секунди, след което се генерира нова. В HOTP паролата остава валидна, докато не я използвате. Поради тази причина много хакери имат достъп до HOTP и да ги използват за извършване на успешни кибератаки. Въпреки че HOTP все още се използва от някои услуги за удостоверяване, повечето популярни приложения за удостоверяване изискват TOTP.
Какви са ползите от използването на TOTP?
TOTP са полезни, защото ви осигуряват допълнителен слой сигурност. Самата система потребителско име-парола е слаба и често се подлага на Човекът по средата атакува. Въпреки това, с базираните на TOTP 2FA/MFA системи, хакерите нямат достатъчно време за достъп до вашия TOTP дори ако са откраднали вашата традиционна парола, така че нямат голяма възможност да хакнат вашата сметки.
TOTP удостоверяването осигурява допълнителна сигурност
Киберпрестъпниците могат лесно да получат достъп до вашето потребителско име и парола и да хакнат акаунта ви. С базираните на TOTP 2FA/MFA системи обаче можете да имате по-сигурен акаунт, тъй като TOTP са ограничени във времето и изтичат след секунди. Внедряването на TOTP очевидно си заслужава.
