Az időalapú egyszeri jelszavak (TOTP-k) a szabványos egyszeri jelszó számítógépes algoritmusok. Kibővítik a hash-alapú üzenet-hitelesítési kód (HMAC) egyszeri jelszót (HMAC-alapú egyszeri jelszó vagy röviden HOTP).
A TOTP-k használhatók a hagyományos, hosszabb élettartamú kéttényezős helyett, vagy kiegészítő tényezőként. hitelesítési megoldások, például SMS-üzenetek vagy fizikai hardveres tokenek, amelyeket el lehet lopni vagy elfelejteni könnyen. Tehát mik is pontosan az időalapú egyszeri jelszavak? Hogyan működnek?
Mi az a TOTP?
A TOTP egy ideiglenes, egyszer használatos jelszó, amelyet egy algoritmus generál az aktuális idő szerint felhasználói hitelesítéshez. Ez egy további biztonsági réteg fiókjai számára, amelyen alapul kéttényezős hitelesítés (2FA) ill többtényezős hitelesítés (MFA). Ez azt jelenti, hogy miután megadta felhasználónevét és jelszavát, meg kell adnia egy bizonyos kódot, amely időalapú és rövid élettartamú.
A TOTP-t azért nevezték így, mert szabványos algoritmust használ egy egyedi és numerikus egyszeri jelszó kidolgozására a greenwichi középidő (GMT) használatával. Ez azt jelenti, hogy a jelszó az adott időszak aktuális időpontjából jön létre. A kódokat egy megosztott titokból vagy egy titkos kezdőkódból is generálják, amelyet a felhasználói regisztráció során adnak meg a hitelesítési szerveren, QR-kódokon vagy egyszerű szövegen keresztül.
Ez a jelszó megjelenik a felhasználó számára, aki várhatóan egy meghatározott ideig használja, majd lejár. A felhasználók korlátozott időn belül beírják az egyszeri jelszót, felhasználónevüket és szokásos jelszavukat a bejelentkezési űrlapon. A lejárat után a kód már nem érvényes, és nem használható bejelentkezési űrlapon.
A TOTP-k dinamikus numerikus kódokat tartalmaznak, általában négy és hat számjegy között, amelyek 30-60 másodpercenként változnak. Az Internet Engineering Task Force (IETF) közzétette a TOTP-t, a leírásban RFC 6238, és szabványos algoritmust használ az egyszeri jelszó megszerzéséhez.
Tagjai a Kezdeményezés a nyílt hitelesítéshez (OATH) állnak a TOTP találmánya mögött. Kizárólag szabadalom alatt adták el, és azóta a szabványosítást követően különböző hitelesítési gyártók forgalmazzák. Jelenleg széles körben használják felhő alkalmazás szolgáltatók. Felhasználóbarátak és offline használatra is elérhetők, így ideálisak repülőgépeken való használatra, vagy ha nincs hálózati lefedettség.
Hogyan működik a TOTP?
A TOTP-k, mint az alkalmazások második engedélyezési tényezője, extra biztonságot nyújtanak fiókjai számára, mivel bejelentkezés előtt meg kell adnia az egyszeri numerikus jelkódokat. Népszerű elnevezésük „szoftver token”, „soft token” és „alkalmazás-alapú hitelesítés”, és használható hitelesítési alkalmazásokban mint Google Authenticator és Authy.
Ez úgy működik, hogy miután megadta fiókja felhasználónevét és jelszavát, a rendszer arra kéri, hogy adjon hozzá egy érvényes TOTP-kódot egy másik bejelentkezési felülethez annak igazolására, hogy Ön a fiók tulajdonosa.
Egyes modelleknél a TOTP SMS-ben jut el okostelefonjára. A kódokat egy hitelesítő okostelefon-alkalmazásból is megkaphatja QR-kép beolvasásával. Ez a módszer a legszélesebb körben használt, és a kódok általában körülbelül 30 vagy 60 másodperc után lejárnak. Egyes TOTP-k azonban 120 vagy 240 másodpercig is tarthatnak.
A jelszó az Ön oldalán jön létre, ahelyett, hogy a szerver a hitelesítő alkalmazást használná. Emiatt mindig hozzáférhet a TOTP-hez, így a szervernek nem kell SMS-t küldenie, amikor bejelentkezik.
Vannak más módszerek is a TOTP eléréséhez:
- Hardver biztonsági tokenek.
- E-mail üzenetek a szerverről.
- Hangüzenetek a szerverről.
Mivel a TOTP időalapú, és másodperceken belül lejár, a hackereknek nincs elég idejük a jelkódok előrejelzésére. Így további biztonságot nyújtanak a gyengébb felhasználónév- és jelszó-hitelesítési rendszernek.
Például be szeretne jelentkezni a TOTP-t használó munkaállomására. Először adja meg felhasználónevét és jelszavát a fiókhoz, és a rendszer kéri a TOTP-t. Ezután kiolvashatja a hardveres tokenből vagy a QR-képből, és beírhatja a TOTP bejelentkezési mezőbe. Miután a rendszer hitelesítette a jelszót, bejelentkezteti Önt a fiókjába.
A jelszót előállító TOTP algoritmus megköveteli az eszköz időbevitelét és az Ön titkos magját vagy kulcsát. Nincs szükség internetkapcsolatra a TOTP létrehozásához és ellenőrzéséhez, ezért a hitelesítő alkalmazások offline is működhetnek. A TOTP-re azoknak a felhasználóknak van szükségük, akik használni szeretnék fiókjukat, és hitelesítésre szorulnak repülőn utazva, vagy olyan távoli területeken, ahol nem áll rendelkezésre hálózati kapcsolat.
Hogyan történik a TOTP hitelesítése?
A következő folyamat egyszerű és rövid útmutatót nyújt a TOTP hitelesítési folyamat működéséhez.
Ha a felhasználó hozzá szeretne férni egy alkalmazáshoz, például egy felhőalapú hálózati alkalmazáshoz, a rendszer felkéri a TOTP megadására, miután megadta felhasználónevét és jelszavát. Kérik a 2FA engedélyezését, és a TOTP token a TOTP algoritmust használja az OTP létrehozásához.
A felhasználó beírja a tokent a kérési oldalon, és a biztonsági rendszer konfigurálja a TOTP-jét az aktuális idő és a megosztott titok vagy kulcs azonos kombinációjával. A rendszer összehasonlítja a két jelszót; ha megegyeznek, a felhasználó hitelesítésre kerül, és hozzáférést kap. Fontos megjegyezni, hogy a legtöbb TOTP QR-kódokkal és képekkel hitelesít.
TOTP vs. HMAC-alapú egyszeri jelszó
A HMAC-alapú egyszeri jelszó biztosította a keretrendszert, amelyre a TOTP épült. Mind a TOTP, mind a HOTP hasonlóságokat mutat, mivel mindkét rendszer titkos kulcsot használ a jelkód generálásának egyik bemeneteként. Míg azonban a TOTP az aktuális időt használja másik bemenetként, a HOTP számlálót használ.
Továbbá a biztonság szempontjából a TOTP biztonságosabb, mint a HOTP, mert a generált jelszavak 30-60 másodperc után lejárnak, majd egy újat generálnak. A HOTP-ben a jelszó mindaddig érvényes marad, amíg fel nem használja. Emiatt sok hacker hozzáférhet a HOTP-ekhez, és sikeres kibertámadások végrehajtására használhatja őket. Bár egyes hitelesítési szolgáltatások továbbra is használják a HOTP-t, a legtöbb népszerű hitelesítő alkalmazáshoz TOTP szükséges.
Milyen előnyei vannak a TOTP használatának?
A TOTP-k előnyösek, mert további biztonsági réteget nyújtanak. A felhasználónév-jelszó rendszer önmagában gyenge és gyakran ki van téve annak Man-in-the-Middle támadások. A TOTP-alapú 2FA/MFA rendszerekkel azonban a hackereknek nincs elég idejük hozzáférni a TOTP-hez. még ha el is lopták a hagyományos jelszavadat, így kevés lehetőségük van feltörni fiókok.
A TOTP hitelesítés további biztonságot nyújt
A kiberbűnözők könnyen hozzáférhetnek felhasználónevéhez és jelszavához, és feltörhetik fiókját. A TOTP-alapú 2FA/MFA rendszerekkel azonban biztonságosabb fiókja lehet, mivel a TOTP-k időhöz kötöttek, és másodperceken belül lejárnak. A TOTP megvalósítása egyértelműen megéri.