Časovo založené jednorazové heslá (TOTP) sú štandardným počítačovým algoritmom na jednorazové heslo. Rozširujú jednorazové heslo overovacieho kódu správ na báze hash (HMAC) (jednorazové heslo založené na HMAC alebo skrátene HOTP).
TOTP môžu byť použité namiesto alebo ako dodatočný faktor popri tradičných, dlhodobejších dvojfaktorových autentifikačné riešenia, ako sú SMS správy alebo fyzické hardvérové tokeny, ktoré môžu byť ukradnuté alebo zabudnuté ľahko. Čo sú teda jednorazové heslá založené na čase? Ako fungujú?
Čo je TOTP?
TOTP je dočasný, jednorazový prístupový kód vygenerovaný v súlade s aktuálnym časom pomocou algoritmu pre autentifikáciu používateľa. Ide o ďalšiu vrstvu zabezpečenia vašich účtov, ktorá je založená na dvojfaktorové overenie (2FA) príp viacfaktorové overenie (MFA). To znamená, že po zadaní používateľského mena a hesla budete musieť zadať konkrétny kód, ktorý je časovo obmedzený a krátkodobý.
TOTP je tak pomenovaný, pretože používa štandardný algoritmus na vypracovanie jedinečného a číselného jednorazového prístupového kódu pomocou greenwichského stredného času (GMT). To znamená, že prístupový kód sa generuje z aktuálneho času počas tohto obdobia. Kódy sa tiež generujú zo zdieľaného tajného alebo tajného vstupného kódu poskytnutého pri registrácii používateľa na autentifikačnom serveri, a to buď prostredníctvom QR kódov alebo otvoreného textu.
Tento prístupový kód sa zobrazí používateľovi, od ktorého sa očakáva, že ho bude používať určitý čas, po uplynutí ktorého platnosť vyprší. Používatelia zadávajú jednorazový prístupový kód, svoje používateľské meno a bežné heslo do prihlasovacieho formulára v obmedzenom čase. Po vypršaní platnosti je kód neplatný a nedá sa použiť na prihlasovací formulár.
TOTP obsahujú reťazec dynamických číselných kódov, zvyčajne medzi štyrmi a šiestimi číslicami, ktoré sa menia každých 30 až 60 sekúnd. Internet Engineering Task Force (IETF) zverejnil TOTP, popísané v RFC 6238a používa štandardný algoritmus na získanie jednorazového hesla.
Členovia skupiny Iniciatíva pre otvorenú autentizáciu (OATH) sú mozgy za vynálezom TOTP. Predával sa výlučne pod patentom a rôzni predajcovia overovania ho odvtedy po štandardizácii predávajú. V súčasnosti je široko používaný cloudová aplikácia poskytovateľov. Sú užívateľsky prívetivé a dostupné na použitie offline, vďaka čomu sú ideálne na použitie v lietadlách alebo keď nemáte pokrytie siete.
Ako funguje TOTP?
TOTP ako druhý autorizačný faktor vo vašich aplikáciách poskytujú vašim účtom ďalšiu úroveň zabezpečenia, pretože pred prihlásením musíte zadať jednorazové číselné prístupové kódy. Populárne sa nazývajú „softvérové tokeny“, „softvérové tokeny“ a „overenie založené na aplikáciách“ a nachádzajú uplatnenie v autentifikačných aplikáciách Páči sa mi to Google Authenticator a Authy.
Funguje to tak, že po zadaní používateľského mena a hesla účtu sa zobrazí výzva na pridanie platného kódu TOTP do iného prihlasovacieho rozhrania ako dôkazu, že účet vlastníte.
V niektorých modeloch sa k vám TOTP dostane na vašom smartfóne prostredníctvom textovej správy SMS. Kódy môžete získať aj z aplikácie autentifikátora smartfónu naskenovaním obrázka QR. Táto metóda je najpoužívanejšia a platnosť kódov zvyčajne vyprší po 30 alebo 60 sekundách. Niektoré TOTP však môžu trvať 120 alebo 240 sekúnd.
Prístupový kód je vytvorený na vašom konci namiesto servera pomocou autentifikačnej aplikácie. Z tohto dôvodu máte vždy prístup k svojmu TOTP, takže server nemusí posielať SMS pri každom prihlásení.
Existujú aj iné spôsoby, pomocou ktorých môžete získať svoj TOTP:
- Hardvérové bezpečnostné tokeny.
- E-mailové správy zo servera.
- Hlasové správy zo servera.
Keďže TOTP je založené na čase a jeho platnosť vyprší v priebehu niekoľkých sekúnd, hackeri nemajú dostatok času predvídať vaše prístupové kódy. Týmto spôsobom poskytujú dodatočnú bezpečnosť slabšiemu systému overovania používateľského mena a hesla.
Napríklad sa chcete prihlásiť na svoju pracovnú stanicu, ktorá používa TOTP. Najprv zadáte svoje používateľské meno a heslo pre účet a systém vás vyzve na zadanie TOTP. Potom si ho môžete prečítať zo svojho hardvérového tokenu alebo z obrázka QR a zadať ho do prihlasovacieho poľa TOTP. Keď systém overí prístupový kód, prihlási vás do vášho účtu.
Algoritmus TOTP, ktorý generuje prístupový kód, vyžaduje zadanie času vášho zariadenia a vaše tajné semeno alebo kľúč. Na generovanie a overenie TOTP nepotrebujete internetové pripojenie, a preto môžu autentifikačné aplikácie fungovať offline. TOTP je potrebný pre používateľov, ktorí chcú používať svoje účty a potrebujú overenie počas cestovania v lietadlách alebo vo vzdialených oblastiach, kde nie je k dispozícii sieťové pripojenie.
Ako sa overuje TOTP?
Nasledujúci proces poskytuje jednoduchý a stručný návod, ako funguje proces overovania TOTP.
Keď používateľ chce získať prístup k aplikácii, ako je cloudová sieťová aplikácia, po zadaní používateľského mena a hesla sa mu zobrazí výzva na zadanie TOTP. Požadujú povolenie 2FA a token TOTP používa algoritmus TOTP na generovanie OTP.
Používateľ zadá token na stránke požiadavky a bezpečnostný systém nakonfiguruje svoj TOTP pomocou rovnakej kombinácie aktuálneho času a zdieľaného tajomstva alebo kľúča. Systém porovná dva prístupové kódy; ak sa zhodujú, používateľ je overený a má povolený prístup. Je dôležité poznamenať, že väčšina TOTP sa overí pomocou QR kódov a obrázkov.
TOTP vs. Jednorazové heslo založené na HMAC
Jednorazové heslo založené na HMAC poskytlo rámec, na ktorom bol postavený TOTP. TOTP aj HOTP zdieľajú podobnosti, pretože oba systémy používajú tajný kľúč ako jeden zo vstupov na generovanie prístupového kódu. Zatiaľ čo TOTP používa aktuálny čas ako druhý vstup, HOTP používa počítadlo.
Navyše z hľadiska bezpečnosti je TOTP bezpečnejší ako HOTP, pretože platnosť vygenerovaných hesiel vyprší po 30 až 60 sekundách, po ktorých sa vygeneruje nové. V HOTP zostáva prístupový kód platný, kým ho nepoužijete. Z tohto dôvodu môže veľa hackerov získať prístup k HOTP a použiť ich na úspešné kybernetické útoky. Aj keď niektoré autentifikačné služby stále používajú HOTP, väčšina populárnych autentifikačných aplikácií vyžaduje TOTP.
Aké sú výhody používania TOTP?
TOTP sú prospešné, pretože vám poskytujú ďalšiu úroveň zabezpečenia. Samotný systém používateľského mena a hesla je slabý a bežne mu podlieha Útoky typu Man-in-the-Middle. Pri systémoch 2FA/MFA založených na TOTP však hackeri nemajú dostatok času na prístup k vášmu TOTP. aj keď ukradli vaše tradičné heslo, takže majú len malú príležitosť hacknúť vaše účtov.
Overenie TOTP poskytuje dodatočné zabezpečenie
Kyberzločinci môžu ľahko získať prístup k vášmu používateľskému menu a heslu a hacknúť váš účet. So systémami 2FA/MFA založenými na TOTP však môžete mať bezpečnejší účet, pretože TOTP sú časovo viazané a ich platnosť vyprší v priebehu niekoľkých sekúnd. Implementácia TOTP sa jednoznačne oplatí.