Једнократне лозинке засноване на времену (ТОТП) су стандардни компјутерски алгоритам за једнократну лозинку. Они проширују једнократну лозинку базирану на хеш-у (ХМАЦ) (једнократна лозинка заснована на ХМАЦ-у или скраћено ХОТП).
ТОТП-ови се могу користити уместо или као додатни фактор уз традиционални, дуговечни двофактор решења за аутентификацију, као што су СМС поруке или физички хардверски токени који могу бити украдени или заборављени лако. Дакле, шта су тачно једнократне лозинке засноване на времену? Како они раде?
Шта је ТОТП?
ТОТП је привремена шифра за једнократну употребу коју алгоритам генерише у складу са тренутним временом за аутентификацију корисника. То је додатни ниво безбедности за ваше налоге на коме се заснива двофакторска аутентификација (2ФА) или вишефакторска аутентификација (МФА). То значи да након што унесете своје корисничко име и лозинку, од вас се тражи да унесете одређени код који је временски заснован и краткотрајан.
ТОТП је тако назван јер користи стандардни алгоритам за израду јединствене и нумеричке једнократне лозинке користећи средње време по Гриничу (ГМТ). То јест, шифра се генерише из тренутног времена током тог периода. Кодови се такође генеришу из заједничке тајне или тајне лозинке која се даје приликом регистрације корисника на серверу за аутентификацију, било преко КР кодова или отвореног текста.
Овај приступни код се приказује кориснику, од кога се очекује да га користи одређено време, након чега истиче. Корисници уносе једнократну лозинку, своје корисничко име и редовну лозинку у формулар за пријаву у ограниченом времену. Након истека, код више не важи и не може се користити на обрасцу за пријаву.
ТОТП-ови укључују низ динамичких нумеричких кодова, обично између четири и шест цифара, који се мењају сваких 30 до 60 секунди. Радна група за интернет инжењеринг (ИЕТФ) објавила је ТОТП, описан у РФЦ 6238, и користи стандардни алгоритам за добијање једнократне лозинке.
Чланови Иницијатива за отворену аутентификацију (ОАТХ) су мозгови иза проналаска ТОТП-а. Продавао се искључиво под патентом, а различити продавци аутентификације су га од тада пласирали на тржиште након стандардизације. Тренутно га широко користе апликација у облаку провајдери. Они су једноставни за употребу и доступни за употребу ван мреже, што их чини идеалним за употребу у авионима или када немате покривеност мрежом.
Како ради ТОТП?
ТОТП-ови, као други фактор ауторизације у вашим апликацијама, пружају вашим налозима додатни ниво сигурности јер морате да обезбедите једнократне нумеричке шифре пре него што се пријавите. Они се популарно називају „софтверски токени“, „меки токени“ и „потврда идентитета заснована на апликацијама“ и налазе се у апликацијама за аутентификацију као Гоогле Аутхентицатор и Аутхи.
Начин на који то функционише је да након што унесете корисничко име и лозинку свог налога, од вас се тражи да додате важећи ТОТП код у други интерфејс за пријаву као доказ да сте власник налога.
У неким моделима, ТОТП долази до вас на паметном телефону путем СМС текстуалне поруке. Такође можете добити кодове из апликације за паметни телефон за потврду идентитета скенирањем КР слике. Овај метод је најчешће коришћен, а кодови обично истичу након око 30 или 60 секунди. Међутим, неки ТОТП могу трајати 120 или 240 секунди.
Лозинка се креира на вашем крају уместо да сервер користи апликацију за аутентификацију. Из тог разлога, увек имате приступ свом ТОТП-у тако да сервер не мора да шаље СМС кад год се пријавите.
Постоје и други начини помоћу којих можете добити свој ТОТП:
- Хардверски сигурносни токени.
- Е-маил поруке са сервера.
- Гласовне поруке са сервера.
Пошто је ТОТП заснован на времену и истиче за неколико секунди, хакери немају довољно времена да предвиде ваше шифре. На тај начин пружају додатну сигурност слабијем систему за аутентификацију корисничког имена и лозинке.
На пример, желите да се пријавите на своју радну станицу која користи ТОТП. Прво унесете своје корисничко име и лозинку за налог, а систем од вас тражи ТОТП. Затим га можете прочитати са свог хардверског токена или КР слике и унети га у ТОТП поље за пријаву. Након што систем потврди шифру, пријављује вас на ваш налог.
ТОТП алгоритам који генерише лозинку захтева унос времена вашег уређаја и ваше тајно семе или кључ. Није вам потребна интернет конекција да бисте генерисали и верификовали ТОТП, због чега апликације за аутентификацију могу да раде ван мреже. ТОТП је неопходан за кориснике који желе да користе своје налоге и потребна им је аутентикација током путовања у авионима или у удаљеним областима где мрежна повезаност није доступна.
Како се ТОТП аутентификује?
Следећи процес пружа једноставан и кратак водич о томе како функционише ТОТП процес аутентификације.
Када корисник жели приступ апликацији као што је апликација за мрежу у облаку, од њега се тражи да унесе ТОТП након што унесе своје корисничко име и лозинку. Они захтевају да се омогући 2ФА, а ТОТП токен користи ТОТП алгоритам да генерише ОТП.
Корисник уноси токен на страници са захтевом, а безбедносни систем конфигурише свој ТОТП користећи исту комбинацију тренутног времена и дељене тајне или кључа. Систем упоређује две лозинке; ако се поклапају, корисник је аутентификован и одобрен му је приступ. Важно је напоменути да ће се већина ТОТП-а аутентификовати помоћу КР кодова и слика.
ТОТП вс. Једнократна лозинка заснована на ХМАЦ-у
Једнократна лозинка заснована на ХМАЦ-у обезбедила је оквир на коме је изграђен ТОТП. И ТОТП и ХОТП деле сличности, пошто оба система користе тајни кључ као један од улаза за генерисање лозинке. Међутим, док ТОТП користи тренутно време као други улаз, ХОТП користи бројач.
Штавише, у смислу безбедности, ТОТП је сигурнији од ХОТП-а јер генерисане лозинке истичу након 30 до 60 секунди, након чега се генерише нова. У ХОТП-у, лозинка остаје важећа док је не употребите. Из тог разлога, многи хакери могу приступити ХОТП-овима и користити их за извођење успешних сајбер напада. Иако неки сервиси за аутентификацију и даље користе ХОТП, најпопуларније апликације за аутентификацију захтевају ТОТП.
Које су предности коришћења ТОТП-а?
ТОТП-ови су корисни јер вам пружају додатни ниво сигурности. Сам систем корисничког имена и лозинке је слаб и често подложан Напади човека у средини. Међутим, са 2ФА/МФА системима заснованим на ТОТП-у, хакери немају довољно времена да приступе вашем ТОТП-у чак и ако су украли вашу традиционалну лозинку, тако да имају мало могућности да вас хакују рачуни.
ТОТП аутентификација пружа додатну сигурност
Сајбер криминалци могу лако да приступе вашем корисничком имену и лозинки и хакују ваш налог. Међутим, са 2ФА/МФА системима заснованим на ТОТП-у, можете имати сигурнији налог јер су ТОТП-ови временски ограничени и истичу за неколико секунди. Примена ТОТП-а је очигледно вредна тога.