Tidsbaserte engangspassord (TOTP-er) er standard engangspassord-datamaskinalgoritmen. De utvider det hash-baserte meldingsautentiseringskoden (HMAC) engangspassordet (HMAC-basert engangspassord, eller HOTP for kort).
TOTP-er kan brukes i stedet for, eller som en tilleggsfaktor ved siden av, tradisjonelle tofaktorer med lengre levetid autentiseringsløsninger, for eksempel SMS-meldinger eller fysiske maskinvaretokens som kan bli stjålet eller glemt Enkelt. Så hva er egentlig tidsbaserte engangspassord? Hvordan fungerer de?
Hva er en TOTP?
TOTP er en midlertidig engangskode som genereres i tråd med gjeldende tid av en algoritme for brukerautentisering. Det er et ekstra lag med sikkerhet for kontoene dine som er basert på to-faktor autentisering (2FA) eller multifaktorautentisering (MFA). Dette betyr at etter at du har oppgitt brukernavn og passord, må du oppgi en bestemt kode som er tidsbasert og kortvarig.
TOTP heter det fordi den bruker en standardalgoritme for å utarbeide en unik og numerisk engangskode ved å bruke Greenwich Mean Time (GMT). Det vil si at passordet genereres fra gjeldende tidspunkt i denne perioden. Kodene genereres også fra en delt hemmelighet eller et hemmelig frøpassord gitt ved brukerregistrering hos autentiseringsserveren, enten gjennom QR-koder eller ren tekst.
Dette passordet vises til brukeren, som forventes å bruke det i en bestemt tid, hvoretter det utløper. Brukere skriver inn engangspassordet, brukernavnet og det vanlige passordet i et påloggingsskjema innen en begrenset tid. Etter utløp er koden ikke gyldig lenger og kan ikke brukes på et påloggingsskjema.
TOTP-er inkluderer en streng med dynamiske numeriske koder, vanligvis mellom fire og seks sifre, som endres hvert 30. til 60. sekund. Internet Engineering Task Force (IETF) publiserte TOTP, beskrevet i RFC 6238, og bruker en standardalgoritme for å få et engangspassord.
Medlemmer av Initiativ for åpen autentisering (OATH) er hjernen bak TOTPs oppfinnelse. Den ble solgt utelukkende under patent, og forskjellige autentiseringsleverandører har siden markedsført den etter standardisering. Det er for tiden mye brukt av skyapplikasjon tilbydere. De er brukervennlige og tilgjengelige for offline bruk, noe som gjør dem ideelle for bruk på fly eller når du ikke har nettverksdekning.
Hvordan fungerer en TOTP?
TOTP-er, som den andre autorisasjonsfaktoren på appene dine, gir kontoene dine et ekstra lag med sikkerhet fordi du må oppgi de numeriske engangskodene før du logger på. De kalles populært "programvaretokens", "myke tokens" og "appbasert autentisering" og finner bruk i autentiseringsapper som Google Authenticator og Authy.
Måten det fungerer på er at etter at du har lagt inn brukernavn og passord for kontoen din, blir du bedt om å legge til en gyldig TOTP-kode i et annet påloggingsgrensesnitt som bevis på at du eier kontoen.
I noen modeller kommer TOTP til deg på smarttelefonen din via en SMS-tekstmelding. Du kan også få kodene fra en autentiseringssmarttelefonapplikasjon ved å skanne et QR-bilde. Denne metoden er den mest brukte, og kodene utløper vanligvis etter omtrent 30 eller 60 sekunder. Noen TOTP-er kan imidlertid vare i 120 eller 240 sekunder.
Passordet opprettes på din side i stedet for serverens ved hjelp av autentiseringsapplikasjonen. Av denne grunn har du alltid tilgang til din TOTP slik at serveren ikke trenger å sende en SMS hver gang du logger på.
Det er andre metoder du kan få TOTP på:
- Maskinvaresikkerhetstokener.
- E-postmeldinger fra serveren.
- Talemeldinger fra serveren.
Fordi TOTP er tidsbasert og utløper i løpet av sekunder, har ikke hackere nok tid til å forutse passordene dine. På den måten gir de ekstra sikkerhet til det svakere autentiseringssystemet for brukernavn og passord.
Du vil for eksempel logge på arbeidsstasjonen din som bruker TOTP. Du skriver først inn brukernavn og passord for kontoen, og systemet ber deg om en TOTP. Du kan deretter lese det fra maskinvaretokenet eller QR-bildet og skrive det inn i TOTP-påloggingsfeltet. Etter at systemet har autentisert passordet, logger det deg på kontoen din.
TOTP-algoritmen som genererer passordet krever enhetens tidsinndata og ditt hemmelige frø eller nøkkel. Du trenger ikke Internett-tilkobling for å generere og bekrefte TOTP, og det er grunnen til at autentiseringsapper kan fungere offline. TOTP er nødvendig for brukere som ønsker å bruke kontoene sine og trenger autentisering under reiser på fly eller i avsidesliggende områder der nettverkstilkobling ikke er tilgjengelig.
Hvordan blir TOTP autentisert?
Den følgende prosessen gir en enkel og kort veiledning om hvordan TOTP-autentiseringsprosessen fungerer.
Når en bruker ønsker tilgang til en applikasjon som en skynettverksapplikasjon, blir de bedt om å angi TOTP etter å ha skrevet inn brukernavn og passord. De ber om at 2FA aktiveres, og TOTP-tokenet bruker TOTP-algoritmen for å generere OTP.
Brukeren skriver inn tokenet på forespørselssiden, og sikkerhetssystemet konfigurerer sin TOTP ved å bruke den samme kombinasjonen av gjeldende tid og den delte hemmeligheten eller nøkkelen. Systemet sammenligner de to passordene; hvis de samsvarer, blir brukeren autentisert og gitt tilgang. Det er viktig å merke seg at de fleste TOTP vil autentisere med QR-koder og bilder.
TOTP vs. HMAC-basert engangspassord
Det HMAC-baserte engangspassordet ga rammeverket som TOTP ble bygget på. Både TOTP og HOTP deler likheter, siden begge systemene bruker en hemmelig nøkkel som en av inngangene for å generere passordet. Men mens TOTP bruker gjeldende tid som den andre inngangen, bruker HOTP en teller.
Videre, når det gjelder sikkerhet, er TOTP sikrere enn HOTP fordi de genererte passordene utløper etter 30 til 60 sekunder, hvoretter et nytt genereres. I HOTP forblir passordet gyldig til du bruker det. Av denne grunn kan mange hackere få tilgang til HOTP-er og bruke dem til å utføre vellykkede nettangrep. Selv om HOTP fortsatt brukes av enkelte autentiseringstjenester, krever de fleste populære autentiseringsappene TOTP.
Hva er fordelene med å bruke en TOTP?
TOTP-er er fordelaktige fordi de gir deg et ekstra lag med sikkerhet. Brukernavn-passordsystemet alene er svakt og ofte utsatt for Man-in-the-Middle angrep. Men med de TOTP-baserte 2FA/MFA-systemene har ikke hackerne nok tid til å få tilgang til TOTP-en din selv om de har stjålet det tradisjonelle passordet ditt, så de har liten mulighet til å hacke deg kontoer.
TOTP-autentisering gir ekstra sikkerhet
Nettkriminelle kan enkelt få tilgang til brukernavnet og passordet ditt og hacke kontoen din. Med de TOTP-baserte 2FA/MFA-systemene kan du imidlertid ha en sikrere konto fordi TOTP-er er tidsbestemt og utløper i løpet av sekunder. Å implementere TOTP er helt klart verdt det.
