Ajapõhised ühekordsed paroolid (TOTP) on standardne ühekordse parooli arvutialgoritm. Need laiendavad räsipõhist sõnumi autentimiskoodi (HMAC) ühekordset parooli (HMAC-põhine ühekordne parool või lühidalt HOTP).
TOTP-sid saab kasutada traditsioonilise pikemaealise kahe teguri asemel või täiendava tegurina koos nendega autentimislahendused, nagu SMS-sõnumid või füüsilised riistvaramärgid, mida saab varastada või unustada lihtsalt. Mis siis täpselt on ajapõhised ühekordsed paroolid? Kuidas need toimivad?
Mis on TOTP?
TOTP on ajutine ühekordselt kasutatav pääsukood, mis genereeritakse algoritmi abil kooskõlas praeguse ajaga kasutaja autentimiseks. See on teie kontode täiendav turvakiht, mis põhineb kahefaktoriline autentimine (2FA) või mitmefaktoriline autentimine (MFA). See tähendab, et pärast kasutajanime ja parooli sisestamist peate sisestama konkreetse koodi, mis on ajapõhine ja lühiajaline.
TOTP on saanud sellise nime, kuna see kasutab Greenwichi aja (GMT) abil ainulaadse ja numbrilise ühekordse pääsukoodi väljatöötamiseks standardset algoritmi. See tähendab, et pääsukood genereeritakse selle perioodi praeguse aja järgi. Koodid genereeritakse ka jagatud salajasest või salajasest algpääsukoodist, mis antakse kasutaja registreerimisel autentimisserveris, kas QR-koodide või tavateksti kaudu.
Seda pääsukoodi näidatakse kasutajale, kes peaks seda teatud aja jooksul kasutama, pärast mida see aegub. Kasutajad sisestavad piiratud aja jooksul sisselogimisvormi ühekordse pääsukoodi, oma kasutajanime ja tavalise parooli. Pärast aegumist kood ei kehti enam ja seda ei saa sisselogimisvormil kasutada.
TOTP-d sisaldavad dünaamiliste numbriliste koodide jada, tavaliselt nelja- kuni kuuekohalised, mis muutuvad iga 30–60 sekundi järel. Internet Engineering Task Force (IETF) avaldas TOTP, mida on kirjeldatud aastal RFC 6238, ja kasutab ühekordse parooli hankimiseks standardset algoritmi.
liikmed Avatud autentimise algatus (OATH) on TOTP leiutise taga. Seda müüdi eranditult patendi alusel ja erinevad autentimismüüjad on pärast standardimist seda turustanud. Praegu kasutab seda laialdaselt pilverakendus pakkujad. Need on kasutajasõbralikud ja võrguühenduseta kasutamiseks saadaval, mis muudab need ideaalseks kasutamiseks lennukites või siis, kui teil pole võrgu leviala.
Kuidas TOTP töötab?
TOTP-d, mis on teie rakenduste teine autoriseerimisfaktor, pakuvad teie kontodele täiendavat turvalisust, kuna peate enne sisselogimist sisestama ühekordsed numbrilised pääsukoodid. Neid nimetatakse rahvapäraselt "tarkvara žetoonideks", "pehmeteks märkideks" ja "rakendusepõhiseks autentimiseks" ning need leiavad kasutust autentimisrakendustes meeldib Google Authenticator ja Authy.
See toimib nii, et pärast konto kasutajanime ja parooli sisestamist palutakse teil lisada kehtiv TOTP-kood teise sisselogimisliidese tõestuseks, et konto kuulub teile.
Mõne mudeli puhul jõuab TOTP teieni teie nutitelefoni SMS-sõnumiga. Koodid saate ka nutitelefoni autentimisrakendusest, skannides QR-pilti. Seda meetodit kasutatakse kõige laialdasemalt ja koodid aeguvad tavaliselt umbes 30 või 60 sekundi pärast. Mõned TOTP-d võivad aga kesta 120 või 240 sekundit.
Pääsukood luuakse teie jaoks, mitte autentimisrakendust kasutavas serveris. Sel põhjusel on teil alati juurdepääs oma TOTP-le, nii et server ei pea iga kord sisselogimisel SMS-i saatma.
TOTP-i saamiseks on ka teisi meetodeid:
- Riistvara turvamärgid.
- Meilisõnumid serverist.
- Häälsõnumid serverist.
Kuna TOTP on ajapõhine ja aegub mõne sekundi jooksul, pole häkkeritel piisavalt aega teie pääsukoodide ennetamiseks. Nii pakuvad need nõrgemale kasutajanime ja parooli autentimise süsteemile täiendavat turvalisust.
Näiteks soovite sisse logida oma tööjaama, mis kasutab TOTP-d. Esmalt sisestate konto kasutajanime ja parooli ning süsteem küsib teilt TOTP-d. Seejärel saate seda lugeda oma riistvaramärgilt või QR-pildilt ja sisestada selle TOTP sisselogimisväljale. Pärast pääsukoodi autentimist logib süsteem teid teie kontole sisse.
Pääsukoodi genereeriv TOTP-algoritm nõuab teie seadme ajasisendit ja teie salajast seemet või võtit. Te ei vaja TOTP loomiseks ja kinnitamiseks Interneti-ühendust, mistõttu saavad autentimisrakendused töötada võrguühenduseta. TOTP on vajalik kasutajatele, kes soovivad oma kontosid kasutada ja vajavad autentimist lennukis reisimise ajal või kaugemates piirkondades, kus võrguühendus pole saadaval.
Kuidas TOTP autentimine toimub?
Järgmine protsess annab lihtsa ja lühikese juhendi TOTP autentimisprotsessi toimimise kohta.
Kui kasutaja soovib juurdepääsu rakendusele, näiteks pilvevõrgu rakendusele, palutakse tal pärast kasutajanime ja parooli sisestamist sisestada TOTP. Nad nõuavad 2FA lubamist ja TOTP-märk kasutab OTP genereerimiseks TOTP-algoritmi.
Kasutaja sisestab loa päringu lehele ja turvasüsteem konfigureerib oma TOTP-i, kasutades sama kombinatsiooni praegusest kellaajast ja jagatud saladusest või võtmest. Süsteem võrdleb kahte pääsukoodi; kui need ühtivad, autenditakse kasutaja ja antakse juurdepääs. Oluline on märkida, et enamik TOTP-sid autentitakse QR-koodide ja piltidega.
TOTP vs. HMAC-põhine ühekordne parool
HMAC-põhine ühekordne parool andis raamistiku, millele TOTP ehitati. Nii TOTP kui ka HOTP jagavad sarnasusi, kuna mõlemad süsteemid kasutavad pääsukoodi genereerimiseks ühe sisendina salajast võtit. Kui TOTP kasutab teise sisendina praegust aega, siis HOTP kasutab loendurit.
Lisaks on turvalisuse mõttes TOTP turvalisem kui HOTP, kuna loodud paroolid aeguvad 30–60 sekundi pärast, misjärel genereeritakse uus. HOTP-s jääb pääsukood kehtima seni, kuni seda kasutate. Sel põhjusel pääsevad paljud häkkerid ligi HOTP-idele ja kasutavad neid edukate küberrünnakute läbiviimiseks. Kuigi mõned autentimisteenused kasutavad endiselt HOTP-d, nõuavad enamik populaarseid autentimisrakendusi TOTP-d.
Millised on TOTP kasutamise eelised?
TOTP-d on kasulikud, kuna need pakuvad teile täiendavat turvalisust. Ainuüksi kasutajanime-parooli süsteem on nõrk ja sageli allutatud Man-in-the-Middle rünnakud. Kuid TOTP-põhiste 2FA/MFA süsteemide puhul ei ole häkkeritel piisavalt aega teie TOTP-le juurde pääseda. isegi kui nad on varastanud teie traditsioonilise parooli, nii et neil on vähe võimalusi teie häkkimiseks kontosid.
TOTP autentimine pakub täiendavat turvalisust
Küberkurjategijad pääsevad hõlpsalt ligi teie kasutajanimele ja paroolile ning teie kontole häkkida. TOTP-põhiste 2FA/MFA-süsteemidega saate aga omada turvalisema konto, kuna TOTP-d on ajaliselt piiratud ja aeguvad mõne sekundi jooksul. TOTP rakendamine on selgelt seda väärt.