Časově založená jednorázová hesla (TOTP) jsou standardním počítačovým algoritmem pro jednorázové heslo. Rozšiřují jednorázové heslo ověřovacího kódu zprávy založeného na hash (HMAC) (jednorazové heslo založené na HMAC nebo zkráceně HOTP).
TOTP lze použít místo nebo jako doplňkový faktor vedle tradičních, dlouhodobějších dvoufaktorových autentizační řešení, jako jsou SMS zprávy nebo fyzické hardwarové tokeny, které lze ukrást nebo zapomenout snadno. Co jsou tedy jednorázová hesla založená na čase? Jak fungují?
Co je TOTP?
TOTP je dočasný, jednorázový přístupový kód generovaný algoritmem v souladu s aktuálním časem pro ověření uživatele. Je to přidaná vrstva zabezpečení pro vaše účty, která je založena na dvoufaktorové ověřování (2FA) popř vícefaktorové ověřování (MFA). To znamená, že poté, co zadáte své uživatelské jméno a heslo, budete požádáni o zadání konkrétního kódu, který je časově závislý a krátkodobý.
TOTP se tak jmenuje, protože používá standardní algoritmus k vypracování jedinečného a číselného jednorázového přístupového kódu pomocí greenwichského středního času (GMT). To znamená, že přístupový kód je generován z aktuálního času během tohoto období. Kódy jsou také generovány ze sdíleného tajného nebo tajného vstupního hesla poskytnutého při registraci uživatele na ověřovacím serveru, a to buď prostřednictvím QR kódů nebo prostého textu.
Tento přístupový kód se zobrazí uživateli, od kterého se očekává, že jej bude používat po určitou dobu, po které vyprší. Uživatelé zadávají jednorázový přístupový kód, své uživatelské jméno a běžné heslo do přihlašovacího formuláře v omezeném čase. Po vypršení platnosti již kód není platný a nelze jej použít na přihlašovací formulář.
TOTP obsahují řetězec dynamických číselných kódů, obvykle mezi čtyřmi a šesti číslicemi, které se mění každých 30 až 60 sekund. Internet Engineering Task Force (IETF) zveřejnil TOTP, popsané v RFC 6238a používá standardní algoritmus k získání jednorázového hesla.
Členové Iniciativa pro otevřenou autentizaci (OATH) jsou mozky za vynálezem TOTP. Byl prodáván výhradně pod patentem a různí prodejci ověřování jej od té doby po standardizaci prodávají. V současné době je široce používán cloudová aplikace poskytovatelé. Jsou uživatelsky přívětivé a dostupné pro offline použití, díky čemuž jsou ideální pro použití v letadlech nebo v případě, že nemáte pokrytí sítí.
Jak funguje TOTP?
TOTP jako druhý autorizační faktor ve vašich aplikacích poskytují vašim účtům další vrstvu zabezpečení, protože před přihlášením musíte zadat jednorázové číselné kódy. Lidově se jim říká „softwarové tokeny“, „softwarové tokeny“ a „ověření založené na aplikacích“ a nacházejí uplatnění v autentizačních aplikacích jako Google Authenticator a Authy.
Funguje to tak, že po zadání uživatelského jména a hesla účtu budete vyzváni k přidání platného kódu TOTP do jiného přihlašovacího rozhraní jako důkaz, že účet vlastníte.
U některých modelů se k vám TOTP dostane na váš smartphone prostřednictvím textové zprávy SMS. Kódy můžete také získat z aplikace smartphonu pro ověřování naskenováním QR obrázku. Tato metoda je nejpoužívanější a platnost kódů obvykle vyprší přibližně po 30 nebo 60 sekundách. Některé TOTP však mohou trvat 120 nebo 240 sekund.
Přístupový kód je vytvořen na vašem konci namísto serveru pomocí ověřovací aplikace. Z tohoto důvodu máte vždy přístup ke svému TOTP, takže server nemusí posílat SMS, kdykoli se přihlásíte.
Existují další způsoby, kterými můžete získat svůj TOTP:
- Hardwarové bezpečnostní tokeny.
- E-mailové zprávy ze serveru.
- Hlasové zprávy ze serveru.
Protože TOTP je založeno na čase a vyprší během několika sekund, hackeři nemají dostatek času předvídat vaše přístupové kódy. Tímto způsobem poskytují dodatečné zabezpečení slabšímu systému ověřování uživatelských jmen a hesel.
Chcete se například přihlásit ke své pracovní stanici, která používá TOTP. Nejprve zadáte své uživatelské jméno a heslo k účtu a systém vás vyzve k zadání TOTP. Poté jej můžete načíst ze svého hardwarového tokenu nebo z obrázku QR a zadat jej do přihlašovacího pole TOTP. Poté, co systém ověří přístupový kód, přihlásí vás k vašemu účtu.
Algoritmus TOTP, který generuje přístupový kód, vyžaduje zadání času vašeho zařízení a vaše tajné semeno nebo klíč. Ke generování a ověřování TOTP nepotřebujete připojení k internetu, a proto mohou ověřovací aplikace fungovat offline. TOTP je nezbytný pro uživatele, kteří chtějí používat své účty a potřebují ověření během cestování v letadlech nebo ve vzdálených oblastech, kde není k dispozici připojení k síti.
Jak je TOTP ověřeno?
Následující proces poskytuje jednoduchý a stručný návod, jak funguje proces ověřování TOTP.
Když uživatel chce získat přístup k aplikaci, jako je cloudová síťová aplikace, je po zadání svého uživatelského jména a hesla vyzván k zadání TOTP. Požadují povolení 2FA a token TOTP používá algoritmus TOTP ke generování jednorázového hesla.
Uživatel zadá token na stránce požadavku a bezpečnostní systém nakonfiguruje svůj TOTP pomocí stejné kombinace aktuálního času a sdíleného tajemství nebo klíče. Systém porovná dva přístupové kódy; pokud se shodují, je uživatel ověřen a je mu udělen přístup. Je důležité si uvědomit, že většina TOTP se ověřuje pomocí QR kódů a obrázků.
TOTP vs. Jednorázové heslo založené na HMAC
Jednorázové heslo založené na HMAC poskytlo rámec, na kterém byl postaven TOTP. TOTP i HOTP sdílejí podobnosti, protože oba systémy používají tajný klíč jako jeden ze vstupů pro generování přístupového kódu. Zatímco však TOTP používá jako druhý vstup aktuální čas, HOTP používá počítadlo.
Navíc z hlediska bezpečnosti je TOTP bezpečnější než HOTP, protože platnost vygenerovaných hesel vyprší po 30 až 60 sekundách, poté je vygenerováno nové. V HOTP zůstává přístupový kód platný, dokud jej nepoužijete. Z tohoto důvodu může mnoho hackerů přistupovat k HOTP a používat je k provádění úspěšných kybernetických útoků. I když některé ověřovací služby stále používají HOTP, většina populárních ověřovacích aplikací vyžaduje TOTP.
Jaké jsou výhody používání TOTP?
TOTP jsou výhodné, protože vám poskytují další vrstvu zabezpečení. Samotný systém uživatelské jméno-heslo je slabý a běžně vystavený Man-in-the-Middle útoky. U systémů 2FA/MFA založených na TOTP však hackeři nemají dostatek času na přístup k vašemu TOTP. i když vám ukradli vaše tradiční heslo, takže mají jen malou příležitost hacknout vaše účty.
Autentizace TOTP poskytuje další zabezpečení
Kyberzločinci mohou snadno získat přístup k vašemu uživatelskému jménu a heslu a hacknout váš účet. Se systémy 2FA/MFA na bázi TOTP však můžete mít bezpečnější účet, protože TOTP jsou časově vázány a vyprší během několika sekund. Implementace TOTP se jednoznačně vyplatí.