Laiku pagrįsti vienkartiniai slaptažodžiai (TOTP) yra standartinis vienkartinio slaptažodžio kompiuterio algoritmas. Jie išplečia žinučių autentifikavimo kodo (HMAC) vienkartinį slaptažodį (HMAC pagrįstą vienkartinį slaptažodį arba trumpiau HOTP).
TOTP gali būti naudojami vietoj tradicinių, ilgiau trunkančių dviejų veiksnių arba kaip papildomas veiksnys. autentifikavimo sprendimai, pvz., SMS žinutės arba fiziniai aparatūros žetonai, kuriuos galima pavogti arba pamiršti lengvai. Taigi, kas tiksliai yra laiko pagrįsti vienkartiniai slaptažodžiai? Kaip jie veikia?
Kas yra TOTP?
TOTP yra laikinas vienkartinis slaptažodis, sugeneruotas pagal dabartinį laiką pagal algoritmą vartotojo autentifikavimui. Tai papildomas jūsų paskyrų apsaugos sluoksnis, pagrįstas dviejų veiksnių autentifikavimas (2FA) arba kelių veiksnių autentifikavimas (URM). Tai reiškia, kad įvedę vartotojo vardą ir slaptažodį, turite įvesti tam tikrą kodą, kuris yra pagrįstas laiku ir trumpalaikis.
TOTP taip pavadintas, nes jis naudoja standartinį algoritmą unikaliam ir skaitiniam vienkartiniam slaptažodžiui nustatyti naudojant Grinvičo laiką (GMT). Tai reiškia, kad slaptažodis generuojamas iš dabartinio laiko per tą laikotarpį. Kodai taip pat generuojami iš bendro paslapties arba slapto pradinio kodo, pateikto vartotojui registruojantis autentifikavimo serveryje, naudojant QR kodus arba paprastąjį tekstą.
Šis slaptažodis rodomas vartotojui, kuris turėtų jį naudoti tam tikrą laiką, po kurio jo galiojimas baigiasi. Vartotojai į prisijungimo formą per ribotą laiką įveda vienkartinį kodą, savo vartotojo vardą ir įprastą slaptažodį. Pasibaigus galiojimo laikui, kodas nebegalioja ir jo negalima naudoti prisijungimo formoje.
TOTP apima dinaminių skaitmeninių kodų, dažniausiai nuo keturių iki šešių skaitmenų, eilutę, kuri keičiasi kas 30–60 sekundžių. Interneto inžinerijos darbo grupė (IETF) paskelbė TOTP, aprašytą RFC 6238, ir naudoja standartinį algoritmą vienkartiniam slaptažodžiui gauti.
nariai Atviro autentifikavimo iniciatyva (OATH) yra TOTP išradimo smegenys. Jis buvo parduodamas tik pagal patentą, o nuo to laiko įvairūs autentifikavimo pardavėjai jį parduoda po standartizacijos. Šiuo metu jis plačiai naudojamas debesies programa teikėjai. Juos patogu naudoti ir galima naudoti neprisijungus, todėl jie idealiai tinka naudoti lėktuvuose arba kai neturite tinklo aprėpties.
Kaip veikia TOTP?
TOTP, kaip antrasis jūsų programų prieigos teisės veiksnys, suteikia paskyroms papildomą saugumo lygį, nes prieš prisijungdami turite pateikti vienkartinius skaitmeninius slaptažodžius. Jie populiariai vadinami „programinės įrangos žetonais“, „soft tokenais“ ir „programų autentifikavimu“ ir yra naudojami autentifikavimo programose Kaip Google Authenticator ir Authy.
Tai veikia taip, kad įvedę paskyros naudotojo vardą ir slaptažodį būsite paraginti pridėti galiojantį TOTP kodą į kitą prisijungimo sąsają kaip įrodymą, kad paskyra priklauso jums.
Kai kuriuose modeliuose TOTP į jūsų išmanųjį telefoną patenka SMS žinute. Taip pat kodus galite gauti iš autentifikavimo išmaniojo telefono programos nuskaitydami QR vaizdą. Šis metodas yra plačiausiai naudojamas, o kodai paprastai baigiasi maždaug po 30 ar 60 sekundžių. Tačiau kai kurie TOTP gali trukti 120 arba 240 sekundžių.
Slaptažodis sukuriamas jūsų vietoje, o ne serveryje, naudojant autentifikavimo programą. Dėl šios priežasties visada turite prieigą prie savo TOTP, kad serveriui nereikėtų siųsti SMS, kai tik prisijungiate.
Yra ir kitų būdų, kaip gauti TOTP:
- Aparatinės įrangos saugos žetonai.
- Pašto pranešimai iš serverio.
- Balso pranešimai iš serverio.
Kadangi TOTP yra pagrįstas laiku ir baigiasi per kelias sekundes, įsilaužėliai neturi pakankamai laiko numatyti jūsų slaptažodžius. Tokiu būdu jie suteikia papildomo saugumo silpnesnei vartotojo vardo ir slaptažodžio autentifikavimo sistemai.
Pavyzdžiui, norite prisijungti prie savo darbo vietos, kurioje naudojamas TOTP. Pirmiausia įvedate paskyros vartotojo vardą ir slaptažodį, o sistema paragins įvesti TOTP. Tada galite perskaityti jį iš savo aparatinės įrangos prieigos rakto arba QR vaizdo ir įvesti jį į TOTP prisijungimo lauką. Kai sistema patvirtina prieigos kodą, ji prisijungia prie jūsų paskyros.
TOTP algoritmas, generuojantis prieigos kodą, reikalauja jūsų įrenginio laiko įvesties ir jūsų slaptos sėklos arba rakto. Norint generuoti ir patvirtinti TOTP, jums nereikia interneto ryšio, todėl autentifikavimo programos gali veikti neprisijungus. TOTP reikalingas naudotojams, kurie nori naudoti savo paskyras ir kuriems reikalingas autentifikavimas keliaujant lėktuvu arba atokiose vietovėse, kur tinklo ryšys nepasiekiamas.
Kaip TOTP autentifikuojamas?
Šiame procese pateikiamas paprastas ir trumpas TOTP autentifikavimo proceso veikimo vadovas.
Kai vartotojas nori pasiekti programą, pvz., debesies tinklo programą, įvedęs vartotojo vardą ir slaptažodį, jis raginamas įvesti TOTP. Jie prašo įjungti 2FA, o TOTP prieigos raktas naudoja TOTP algoritmą OTP generavimui.
Vartotojas įveda prieigos raktą užklausos puslapyje, o apsaugos sistema sukonfigūruoja savo TOTP, naudodama tą patį dabartinio laiko ir bendrinamos paslapties arba rakto derinį. Sistema lygina du slaptažodžius; jei jie sutampa, vartotojas autentifikuojamas ir jam suteikiama prieiga. Svarbu pažymėti, kad dauguma TOTP autentifikuosis naudojant QR kodus ir vaizdus.
TOTP vs. HMAC pagrįstas vienkartinis slaptažodis
HMAC pagrįstas vienkartinis slaptažodis suteikė pagrindą, ant kurio buvo sukurtas TOTP. Tiek TOTP, tiek HOTP turi panašumų, nes abi sistemos naudoja slaptąjį raktą kaip vieną iš įvesties kodo generavimui. Tačiau nors TOTP naudoja esamą laiką kaip kitą įvestį, HOTP naudoja skaitiklį.
Be to, saugumo požiūriu TOTP yra saugesnis nei HOTP, nes sugeneruoti slaptažodžiai baigiasi po 30–60 sekundžių, o po to sugeneruojamas naujas. HOTP prieigos kodas galioja tol, kol jį naudosite. Dėl šios priežasties daugelis įsilaužėlių gali pasiekti HOTP ir naudoti juos sėkmingoms kibernetinėms atakoms vykdyti. Nors kai kurios autentifikavimo paslaugos vis dar naudojamas HOTP, daugumai populiariausių autentifikavimo programų reikalingas TOTP.
Kokie yra TOTP naudojimo pranašumai?
TOTP yra naudingi, nes suteikia jums papildomą saugumo lygį. Vien vartotojo vardo ir slaptažodžio sistema yra silpna ir dažnai jai taikoma Žmogaus viduryje atakos. Tačiau naudojant TOTP pagrįstas 2FA/MFA sistemas, įsilaužėliai neturi pakankamai laiko pasiekti jūsų TOTP. net jei jie pavogė jūsų tradicinį slaptažodį, todėl jie turi mažai galimybių jūsų nulaužti sąskaitas.
TOTP autentifikavimas suteikia papildomos apsaugos
Kibernetiniai nusikaltėliai gali lengvai pasiekti jūsų vartotojo vardą ir slaptažodį bei įsilaužti į jūsų paskyrą. Tačiau naudodami TOTP pagrįstas 2FA/MFA sistemas galite turėti saugesnę paskyrą, nes TOTP yra riboto laiko ir nustoja galioti per kelias sekundes. Įdiegti TOTP tikrai verta.