Jednokratne lozinke zasnovane na vremenu (TOTP) standardni su računalni algoritam za jednokratne lozinke. Proširuju se na jednokratnu lozinku temeljenu na hash-u za provjeru autentičnosti poruke (HMAC) (HMAC-based One-time Password ili skraćeno HOTP).
TOTP-ovi se mogu koristiti umjesto ili kao dodatni čimbenik uz tradicionalne, dugovječnije dvofaktorske rješenja za autentifikaciju, kao što su SMS poruke ili fizički hardverski tokeni koji se mogu ukrasti ili zaboraviti lako. Dakle, što su točno vremenske jednokratne lozinke? Kako rade?
Što je TOTP?
TOTP je privremena šifra za jednokratnu upotrebu koju algoritam generira u skladu s trenutnim vremenom za autentifikaciju korisnika. To je dodatni sloj sigurnosti za vaše račune koji se temelji na dvofaktorska autentifikacija (2FA) ili provjera autentičnosti s više faktora (MVP). To znači da nakon što ste unijeli svoje korisničko ime i lozinku, od vas se traži da unesete određeni kod koji je vremenski i kratkotrajan.
TOTP je nazvan tako jer koristi standardni algoritam za izradu jedinstvene i numeričke jednokratne šifre koristeći srednje vrijeme po Greenwichu (GMT). To jest, lozinka se generira iz trenutnog vremena u tom razdoblju. Kodovi se također generiraju iz dijeljene tajne ili tajne početne šifre koja se daje prilikom registracije korisnika na autentifikacijskom poslužitelju, bilo putem QR kodova ili otvorenog teksta.
Ova šifra se prikazuje korisniku, od kojeg se očekuje da je koristi određeno vrijeme, nakon čega ona ističe. Korisnici unose jednokratnu šifru, svoje korisničko ime i običnu lozinku u obrazac za prijavu unutar ograničenog vremena. Nakon isteka kod više nije valjan i ne može se koristiti na obrascu za prijavu.
TOTP-ovi uključuju niz dinamičkih numeričkih kodova, obično između četiri i šest znamenki, koji se mijenjaju svakih 30 do 60 sekundi. Internet Engineering Task Force (IETF) objavio je TOTP, opisan u RFC 6238, i koristi standardni algoritam za dobivanje jednokratne lozinke.
Članovi udruge Inicijativa za otvorenu autentifikaciju (OATH) su mozak iza TOTP-ovog izuma. Prodavao se isključivo pod patentom, a različiti dobavljači autentifikacije od tada su ga plasirali na tržište nakon standardizacije. Trenutno je naširoko koristi aplikacija u oblaku pružatelji usluga. Jednostavni su za korištenje i dostupni za izvanmrežnu upotrebu, što ih čini idealnim za korištenje u zrakoplovima ili kada nemate pokrivenost mrežom.
Kako radi TOTP?
TOTP-ovi, kao drugi faktor autorizacije na vašim aplikacijama, pružaju vašim računima dodatan sloj sigurnosti jer morate unijeti jednokratne numeričke šifre prije nego što se prijavite. Popularno se nazivaju "softverski tokeni", "soft tokeni" i "provjera autentičnosti temeljena na aplikaciji" i nalaze primjenu u aplikacijama za autentifikaciju Kao Google autentifikator i Authy.
Način na koji to funkcionira je da nakon što unesete korisničko ime i lozinku za svoj račun, od vas se traži da dodate važeći TOTP kod u drugo sučelje za prijavu kao dokaz da ste vlasnik računa.
U nekim modelima, TOTP dolazi do vas na vaš pametni telefon putem SMS poruke. Također možete dobiti kodove iz aplikacije za autentifikaciju pametnog telefona skeniranjem QR slike. Ova metoda je najčešće korištena, a kodovi obično istječu nakon otprilike 30 ili 60 sekundi. Međutim, neki TOTP-ovi mogu trajati 120 ili 240 sekundi.
Zaporka se stvara na vašoj strani umjesto da poslužitelj koristi aplikaciju autentifikatora. Iz tog razloga uvijek imate pristup svom TOTP-u tako da poslužitelj ne mora slati SMS kad god se prijavite.
Postoje i druge metode putem kojih možete dobiti svoj TOTP:
- Hardverski sigurnosni tokeni.
- E-mail poruke s poslužitelja.
- Glasovne poruke s poslužitelja.
Budući da se TOTP temelji na vremenu i ističe u roku od nekoliko sekundi, hakeri nemaju dovoljno vremena da predvide vaše šifre. Na taj način pružaju dodatnu sigurnost slabijem sustavu provjere autentičnosti korisničkog imena i lozinke.
Na primjer, želite se prijaviti na svoju radnu stanicu koja koristi TOTP. Prvo unesete svoje korisničko ime i lozinku za račun, a sustav od vas traži TOTP. Zatim ga možete pročitati sa svog hardverskog tokena ili QR slike i upisati u TOTP polje za prijavu. Nakon što sustav provjeri autentičnost zaporke, prijavljuje vas na vaš račun.
TOTP algoritam koji generira lozinku zahtijeva unos vremena vašeg uređaja i vaše tajno sjeme ili ključ. Ne trebate internetsku vezu za generiranje i provjeru TOTP-a, zbog čega aplikacije za autentifikaciju mogu raditi izvan mreže. TOTP je neophodan za korisnike koji žele koristiti svoje račune i trebaju autentifikaciju tijekom putovanja zrakoplovom ili u udaljenim područjima gdje mrežna povezanost nije dostupna.
Kako se autentificira TOTP?
Sljedeći postupak pruža jednostavan i kratak vodič o tome kako funkcionira TOTP proces autentifikacije.
Kada korisnik želi pristup aplikaciji kao što je mrežna aplikacija u oblaku, od njega se traži da unese TOTP nakon unosa korisničkog imena i lozinke. Zahtijevaju da se 2FA omogući, a TOTP token koristi TOTP algoritam za generiranje OTP-a.
Korisnik unosi token na stranici zahtjeva, a sigurnosni sustav konfigurira njegov TOTP koristeći istu kombinaciju trenutnog vremena i dijeljene tajne ili ključa. Sustav uspoređuje dvije šifre; ako se podudaraju, korisnik se autentificira i dobiva pristup. Važno je napomenuti da će se većina TOTP-a autentificirati QR kodovima i slikama.
TOTP vs. Jednokratna lozinka temeljena na HMAC-u
Jednokratna lozinka temeljena na HMAC-u pružila je okvir na kojem je izgrađen TOTP. I TOTP i HOTP dijele sličnosti jer oba sustava koriste tajni ključ kao jedan od ulaza za generiranje zaporke. Međutim, dok TOTP koristi trenutno vrijeme kao drugi ulaz, HOTP koristi brojač.
Nadalje, u sigurnosnom smislu TOTP je sigurniji od HOTP-a jer generirana lozinka ističe nakon 30 do 60 sekundi, nakon čega se generira nova. U HOTP-u šifra ostaje važeća dok je ne upotrijebite. Iz tog razloga mnogi hakeri mogu pristupiti HOTP-ovima i koristiti ih za izvođenje uspješnih kibernetičkih napada. Iako HOTP još uvijek koriste neke usluge provjere autentičnosti, većina popularnih aplikacija za provjeru autentičnosti zahtijeva TOTP.
Koje su prednosti korištenja TOTP-a?
TOTP-ovi su korisni jer vam pružaju dodatni sloj sigurnosti. Sam sustav korisničkog imena i lozinke je slab i često mu se podvrgava Čovjek u sredini napada. Međutim, s 2FA/MFA sustavima koji se temelje na TOTP-u, hakeri nemaju dovoljno vremena za pristup vašem TOTP-u čak i ako su ukrali vašu tradicionalnu lozinku, tako da imaju malo mogućnosti hakirati vašu računi.
TOTP autentifikacija pruža dodatnu sigurnost
Cyberkriminalci mogu lako pristupiti vašem korisničkom imenu i zaporci i hakirati vaš račun. Međutim, uz 2FA/MFA sustave koji se temelje na TOTP-u, možete imati sigurniji račun jer su TOTP-ovi vremenski ograničeni i istječu za nekoliko sekundi. Implementacija TOTP-a se očito isplati.
