Časovno zasnovana enkratna gesla (TOTP) so standardni računalniški algoritem za enkratna gesla. Razširijo se na enkratno geslo s kodo za preverjanje pristnosti sporočila (HMAC) (HMAC-based One-time Password ali na kratko HOTP).
TOTP se lahko uporabljajo namesto ali kot dodaten dejavnik poleg tradicionalnih, dolgotrajnejših dvofaktorjev rešitve za preverjanje pristnosti, kot so sporočila SMS ali fizični žetoni strojne opreme, ki jih je mogoče ukrasti ali pozabiti zlahka. Torej, kaj točno so časovno zasnovana enkratna gesla? Kako delujejo?
Kaj je TOTP?
TOTP je začasno geslo za enkratno uporabo, ki ga v skladu s trenutnim časom ustvari algoritem za avtentikacijo uporabnika. Je dodatna plast varnosti za vaše račune, ki temelji na dvofaktorsko avtentikacijo (2FA) oz večfaktorsko avtentikacijo (MZZ). To pomeni, da morate po vnosu uporabniškega imena in gesla vnesti posebno kodo, ki je časovno omejena in je kratkotrajna.
TOTP je tako imenovan, ker uporablja standardni algoritem za izdelavo edinstvenega in številčnega enkratnega gesla z uporabo Greenwiškega srednjega časa (GMT). To pomeni, da se geslo ustvari iz trenutnega časa v tem obdobju. Kode so prav tako ustvarjene iz skupne skrivnosti ali skrivnega semenskega gesla, posredovanega ob registraciji uporabnika na strežniku za preverjanje pristnosti, bodisi prek QR kod ali navadnega besedila.
To geslo je prikazano uporabniku, ki naj bi ga uporabljal določen čas, po katerem poteče. Uporabniki v omejenem času v obrazec za prijavo vnesejo enkratno geslo, svoje uporabniško ime in običajno geslo. Po poteku veljavnosti koda ni več veljavna in je ni mogoče uporabiti na obrazcu za prijavo.
TOTP-ji vključujejo niz dinamičnih številčnih kod, običajno med štirimi in šestimi številkami, ki se spreminjajo vsakih 30 do 60 sekund. Internet Engineering Task Force (IETF) je objavil TOTP, opisan v RFC 6238, in uporablja standardni algoritem za pridobitev enkratnega gesla.
Člani skupine Pobuda za odprto avtentikacijo (OATH) so možgani za izumom TOTP. Prodan je bil izključno na podlagi patenta, različni prodajalci avtentikacij pa so ga od takrat tržili po standardizaciji. Trenutno ga pogosto uporabljajo aplikacija v oblaku ponudniki. So uporabniku prijazni in na voljo za uporabo brez povezave, zaradi česar so idealni za uporabo na letalu ali kadar nimate omrežne pokritosti.
Kako deluje TOTP?
TOTP-ji kot drugi avtorizacijski faktor v vaših aplikacijah zagotavljajo vašim računom dodatno raven varnosti, saj morate pred prijavo vnesti enkratne številske kode. Popularno jih imenujemo »programski žetoni«, »mehki žetoni« in »avtentikacija na podlagi aplikacij« in najdejo uporabo v aplikacijah za preverjanje pristnosti kot Google Authenticator in Authy.
Deluje tako, da ste po vnosu uporabniškega imena in gesla za račun pozvani, da dodate veljavno kodo TOTP v drug vmesnik za prijavo kot dokaz, da ste lastnik računa.
Pri nekaterih modelih vam TOTP prispe na pametni telefon prek besedilnega sporočila SMS. Kode lahko dobite tudi iz aplikacije za pametni telefon za preverjanje pristnosti s skeniranjem slike QR. Ta metoda je najpogosteje uporabljena in kode običajno potečejo po približno 30 ali 60 sekundah. Vendar lahko nekateri TOTP-ji trajajo 120 ali 240 sekund.
Geslo se ustvari na vaši strani, namesto da strežnik uporablja aplikacijo za preverjanje pristnosti. Zaradi tega imate vedno dostop do svojega TOTP, tako da strežniku ni treba poslati SMS-a vsakič, ko se prijavite.
Obstajajo tudi drugi načini, s katerimi lahko pridobite svoj TOTP:
- Varnostni žetoni strojne opreme.
- E-poštna sporočila s strežnika.
- Glasovna sporočila s strežnika.
Ker TOTP temelji na času in poteče v nekaj sekundah, hekerji nimajo dovolj časa, da bi predvideli vaša gesla. Na ta način zagotavljajo dodatno varnost šibkejšemu sistemu za preverjanje pristnosti uporabniškega imena in gesla.
Na primer, želite se prijaviti v svojo delovno postajo, ki uporablja TOTP. Najprej vnesete uporabniško ime in geslo za račun, sistem pa vas pozove k TOTP. Nato ga lahko preberete iz žetona strojne opreme ali slike QR in ga vnesete v polje za prijavo TOTP. Ko sistem preveri pristnost gesla, vas prijavi v vaš račun.
Algoritem TOTP, ki ustvari geslo, zahteva vnos časa vaše naprave in vaše skrivno seme ali ključ. Za ustvarjanje in preverjanje TOTP ne potrebujete internetne povezave, zato lahko aplikacije za preverjanje pristnosti delujejo brez povezave. TOTP je potreben za uporabnike, ki želijo uporabljati svoje račune in potrebujejo preverjanje pristnosti med potovanjem z letali ali na oddaljenih območjih, kjer omrežna povezljivost ni na voljo.
Kako se preverja pristnost TOTP?
Naslednji postopek ponuja preprost in kratek vodnik o tem, kako deluje postopek preverjanja pristnosti TOTP.
Ko uporabnik želi dostop do aplikacije, kot je omrežna aplikacija v oblaku, se po vnosu uporabniškega imena in gesla pozove, da vnese TOTP. Zahtevajo, da je 2FA omogočen, žeton TOTP pa za ustvarjanje OTP uporablja algoritem TOTP.
Uporabnik vnese žeton na stran z zahtevo, varnostni sistem pa konfigurira njegov TOTP z isto kombinacijo trenutnega časa in skupne skrivnosti ali ključa. Sistem primerja obe gesli; če se ujemata, je uporabnik overjen in ima dostop. Pomembno je omeniti, da bo večina TOTP preverjala pristnost s kodami QR in slikami.
TOTP vs. Enkratno geslo na osnovi HMAC
Enkratno geslo, ki temelji na HMAC, je zagotovilo okvir, na katerem je bil zgrajen TOTP. Tako TOTP kot HOTP imata podobnosti, saj oba sistema uporabljata skrivni ključ kot enega od vnosov za generiranje gesla. Medtem ko TOTP uporablja trenutni čas kot drugi vhod, HOTP uporablja števec.
Poleg tega je z vidika varnosti TOTP bolj varen kot HOTP, ker ustvarjena gesla potečejo po 30 do 60 sekundah, nato pa se ustvari novo. V HOTP je geslo veljavno, dokler ga ne uporabite. Zaradi tega lahko številni hekerji dostopajo do HOTP in jih uporabljajo za izvedbo uspešnih kibernetskih napadov. Čeprav nekatere storitve za preverjanje pristnosti še vedno uporabljajo HOTP, večina priljubljenih aplikacij za preverjanje pristnosti zahteva TOTP.
Kakšne so prednosti uporabe TOTP?
TOTP-ji so koristni, ker vam zagotavljajo dodatno raven varnosti. Sam sistem uporabniškega imena in gesla je šibek in pogosto podvržen Man-in-the-Middle napade. Vendar pa s sistemi 2FA/MFA, ki temeljijo na TOTP, hekerji nimajo dovolj časa za dostop do vašega TOTP tudi če so ukradli vaše tradicionalno geslo, tako da imajo malo možnosti, da bi vdrli v vaše računi.
Preverjanje pristnosti TOTP zagotavlja dodatno varnost
Kibernetski kriminalci lahko zlahka dostopajo do vašega uporabniškega imena in gesla ter vdrejo v vaš račun. Vendar pa imate s sistemi 2FA/MFA, ki temeljijo na TOTP, lahko varnejši račun, ker so TOTP časovno omejeni in potečejo v nekaj sekundah. Implementacija TOTP se očitno splača.
