Co to jest jednorazowe hasło oparte na czasie i czy należy go używać?

Jednorazowe hasła oparte na czasie (TOTP) to standardowy algorytm komputerowy z jednorazowym hasłem. Rozszerzają zakres hasła jednorazowego opartego na haszowaniu kodu uwierzytelniania wiadomości (HMAC) (jednorazowe hasło oparte na HMAC lub w skrócie HOTP).

TOTP mogą być używane zamiast lub jako dodatkowy czynnik obok tradycyjnych, trwalszych rozwiązań do uwierzytelniania dwuskładnikowego, takich jak wiadomości SMS lub fizyczne tokeny sprzętowe, które można łatwo ukraść lub zapomnieć. Czym dokładnie są hasła jednorazowe oparte na czasie? Jak oni pracują?

Co to jest TOTP?

TOTP to tymczasowe, jednorazowe hasło generowane zgodnie z aktualnym czasem przez algorytm uwierzytelniania użytkownika. Jest to dodatkowa warstwa bezpieczeństwa dla Twoich kont oparta na uwierzytelnianiu dwuskładnikowym (2FA) lub uwierzytelnianiu wieloskładnikowym (MFA). Oznacza to, że po wprowadzeniu nazwy użytkownika i hasła należy wprowadzić określony kod, który jest ograniczony czasowo i krótkotrwały.

TOTP jest tak nazwany, ponieważ wykorzystuje standardowy algorytm do opracowania unikalnego i numerycznego jednorazowego kodu dostępu przy użyciu czasu Greenwich (GMT). Oznacza to, że kod dostępu jest generowany na podstawie bieżącego czasu w tym okresie. Kody są również generowane na podstawie wspólnego sekretu lub tajnego kodu źródłowego podanego podczas rejestracji użytkownika na serwerze uwierzytelniającym, za pomocą kodów QR lub zwykłego tekstu.

To hasło jest pokazywane użytkownikowi, który ma go używać przez określony czas, po którym traci ważność. Użytkownicy wprowadzają jednorazowy kod dostępu, swoją nazwę użytkownika i zwykłe hasło do formularza logowania w ograniczonym czasie. Po wygaśnięciu kod nie jest już ważny i nie można go użyć w formularzu logowania.

TOTP zawierają ciąg dynamicznych kodów numerycznych, zwykle od czterech do sześciu cyfr, które zmieniają się co 30 do 60 sekund. Internet Engineering Task Force (IETF) opublikował TOTP, opisany w dokumencie RFC 6238 , i używa standardowego algorytmu do uzyskania hasła jednorazowego.

Członkowie Inicjatywy Otwartego Uwierzytelniania (OATH) są mózgami wynalazku TOTP. Był sprzedawany wyłącznie w ramach patentu, a różni dostawcy uwierzytelniania wprowadzali go na rynek po standaryzacji. Obecnie jest szeroko stosowany przez dostawców aplikacji chmurowych. Są przyjazne dla użytkownika i dostępne do użytku w trybie offline, co czyni je idealnymi do użytku w samolotach lub gdy nie masz zasięgu sieci.

Jak działa TOTP?

TOTP, jako drugi czynnik autoryzacji w Twoich aplikacjach, zapewniają Twoim kontom dodatkową warstwę bezpieczeństwa, ponieważ musisz podać jednorazowe numeryczne kody dostępu przed zalogowaniem. Są one popularnie nazywane „tokenami programowymi”, „tokenami programowymi” ” i „uwierzytelnianie oparte na aplikacji” oraz znajdują zastosowanie w aplikacjach uwierzytelniających, takich jak Google Authenticator i Authy .

Sposób działania polega na tym, że po wprowadzeniu nazwy użytkownika i hasła do konta pojawia się monit o dodanie ważnego kodu TOTP do innego interfejsu logowania jako dowodu posiadania konta.

W niektórych modelach TOTP dociera do Ciebie na smartfonie za pośrednictwem wiadomości tekstowej SMS. Możesz również uzyskać kody z aplikacji uwierzytelniającej na smartfony, skanując obraz QR. Ta metoda jest najczęściej stosowana, a kody zwykle wygasają po około 30 lub 60 sekundach. Jednak niektóre TOTP mogą trwać 120 lub 240 sekund.

Kod dostępu jest tworzony po Twojej stronie, a nie na serwerze za pomocą aplikacji uwierzytelniającej. Z tego powodu zawsze masz dostęp do swojego TOTP, aby serwer nie musiał wysyłać SMS-a za każdym razem, gdy się logujesz.

Istnieją inne metody, za pomocą których można uzyskać TOTP:

• Sprzętowe tokeny bezpieczeństwa.
• Wiadomości e-mail z serwera.
• Wiadomości głosowe z serwera.

Ponieważ TOTP jest oparty na czasie i wygasa w ciągu kilku sekund, hakerzy nie mają wystarczająco dużo czasu, aby przewidzieć Twoje hasła. W ten sposób zapewniają dodatkowe bezpieczeństwo słabszemu systemowi uwierzytelniania nazwy użytkownika i hasła.

Na przykład chcesz zalogować się do swojej stacji roboczej, która używa TOTP. Najpierw wprowadź swoją nazwę użytkownika i hasło do konta, a system poprosi o TOTP. Następnie możesz odczytać go z tokena sprzętowego lub obrazu QR i wpisać w polu logowania TOTP. Po uwierzytelnieniu hasła system loguje Cię na Twoje konto.

Algorytm TOTP, który generuje hasło, wymaga czasu wprowadzonego przez urządzenie oraz tajnego ziarna lub klucza. Nie potrzebujesz połączenia z Internetem, aby wygenerować i zweryfikować TOTP, dlatego aplikacje uwierzytelniające mogą działać w trybie offline. TOTP jest niezbędny dla użytkowników, którzy chcą korzystać ze swoich kont i potrzebują uwierzytelnienia podczas podróży samolotem lub w odległych obszarach, gdzie łączność sieciowa nie jest dostępna.

Jak uwierzytelnia się TOTP?

Poniższy proces zapewnia prosty i krótki przewodnik dotyczący działania procesu uwierzytelniania TOTP.

Gdy użytkownik chce uzyskać dostęp do aplikacji, takiej jak aplikacja sieciowa w chmurze, jest proszony o wprowadzenie TOTP po wprowadzeniu nazwy użytkownika i hasła. Żądają włączenia 2FA, a token TOTP używa algorytmu TOTP do generowania hasła jednorazowego.

Użytkownik wprowadza token na stronie żądania, a system bezpieczeństwa konfiguruje swój TOTP przy użyciu tej samej kombinacji aktualnego czasu i współdzielonego sekretu lub klucza. System porównuje dwa hasła; jeśli są zgodne, użytkownik jest uwierzytelniany i uzyskuje dostęp. Należy zauważyć, że większość TOTP uwierzytelnia się za pomocą kodów QR i obrazów.

TOTP a hasło jednorazowe oparte na HMAC

Jednorazowe hasło oparte na HMAC zapewniło ramy, na których zbudowano TOTP. Zarówno TOTP, jak i HOTP mają wspólne podobieństwa, ponieważ oba systemy używają tajnego klucza jako jednego z danych wejściowych do generowania hasła. Jednak podczas gdy TOTP używa bieżącego czasu jako drugiego wejścia, HOTP używa licznika.

Ponadto pod względem bezpieczeństwa TOTP jest bezpieczniejszy niż HOTP, ponieważ wygenerowane hasła wygasają po 30 do 60 sekundach, po czym generowane jest nowe. W HOTP hasło pozostaje ważne, dopóki go nie użyjesz. Z tego powodu wielu hakerów może uzyskiwać dostęp do HOTP i wykorzystywać je do przeprowadzania udanych cyberataków. Mimo że HOTP jest nadal używany przez niektóre usługi uwierzytelniające, większość popularnych aplikacji uwierzytelniających wymaga protokołu TOTP.

Jakie są korzyści z używania TOTP?

TOTP są korzystne, ponieważ zapewniają dodatkową warstwę bezpieczeństwa. Sam system nazwy użytkownika i hasła jest słaby i często poddawany atakom typu Man-in-the-Middle. Jednak w przypadku systemów 2FA/MFA opartych na TOTP hakerzy nie mają wystarczająco dużo czasu, aby uzyskać dostęp do Twojego TOTP, nawet jeśli ukradli Twoje tradycyjne hasło, więc mają niewielkie możliwości włamania się na Twoje konta.

Uwierzytelnianie TOTP zapewnia dodatkowe bezpieczeństwo

Cyberprzestępcy mogą łatwo uzyskać dostęp do Twojej nazwy użytkownika i hasła oraz zhakować Twoje konto. Jednak dzięki systemom 2FA/MFA opartym na TOTP możesz mieć bezpieczniejsze konto, ponieważ TOTP są ograniczone czasowo i wygasają w ciągu kilku sekund. Zdecydowanie warto wdrożyć TOTP.