O que é uma senha de uso único baseada no tempo? (TOTP)

Uma senha de uso único baseada no tempo (TOTP) é um método de autenticação no qual códigos exclusivos são gerados a cada 30 a 60 segundos com base em um algoritmo. Usado para autenticação de vários fatores (AVF), os usuários inserem um código TOTP depois de inserir a senha para verificar sua identidade e acessar uma conta.

Como a TOTP funciona

A TOTP depende de um algoritmo secreto que gera códigos. O algoritmo, que é único para cada instância, usa o tempo atual como fator. Isso permite que o algoritmo produza um código novo e exclusivo a cada 30 a 60 segundos.

Cada vez que um usuário iniciar a criação de uma nova TOTP para uma conta, os servidores da conta gerarão um algoritmo secreto exclusivo, geralmente exibido como um código QR. O servidor mantém o segredo e usa-o para gerar os códigos TOTP.

O usuário digitalizará o código QR com uma ferramenta autenticadora, que pode ser um aplicativo de telefone dedicado ou um recurso de um gerenciador de senhas. Como a ferramenta autenticadora agora tem o algoritmo secreto, ela calcula exatamente os mesmos códigos de seis dígitos que o servidor.

Depois de configurado, o algoritmo é executado simultaneamente no servidor e na ferramenta autenticadora do usuário, produzindo exatamente os mesmos códigos de seis dígitos ao mesmo tempo.

Quando um usuário faz login, ele insere o código atual exibido em sua ferramenta autenticadora. O servidor comparará o código calculado com o código do usuário. Se os códigos corresponderem, o usuário será verificado e terá acesso.

Uma ilustração mostrando o processo de como senhas de uso único baseadas na hora (TOTP) funcionam. Ela inclui um código QR gerado pelo servidor exibindo um código temporário, um aplicativo autenticador com o qual o segredo é compartilhado, um código de seis dígitos gerado pelo aplicativo e um símbolo para transmitir a ideia de autenticação aprimorada.

Como usar as TOTP

Aqui estão as etapas para usar as TOTP:

Escolha sua ferramenta de autenticação. Recomendamos usar um gerenciador de senhas para gerar seus códigos TOTP porque simplifica o processo de login e não exige que você use vários dispositivos apenas para fazer login em sua conta.
Solicite um algoritmo secreto da sua conta. Faça login na sua conta e encontre as configurações de segurança. Se os códigos TOTP forem uma opção de AVF para sua conta , você verá uma configuração para solicitar um código QR.
Digitalize o código QR com sua ferramenta autenticadora. Qualquer aplicativo que você estiver usando terá uma maneira de ler o código QR, provavelmente usando a câmera do seu telefone ou uma função de captura de tela.
Tudo pronto! Sempre que você fizer login e o servidor solicitar um código de autenticação, consulte sua ferramenta autenticadora para encontrar o código exibido. Certifique-se de inserir o código antes que o tempo acabe e o código mude (geralmente a cada 30 a 60 segundos).

Por que você deve usar a autenticação por TOTP

A TOTP é uma das formas mais seguras e convenientes de autenticação de vários fatores. A AVF é recomendada para todas as contas e funciona como uma camada adicional de segurança para sua senha. Se alguém conseguir uma senha e tentar fazer login em uma conta com AVF habilitada, não conseguirá obter acesso sem o segundo método de autenticação.

As senhas são frequentemente comprometidas em violações de dados em massa e outros ataques cibernéticos. Isso torna a AFV importante. Se você não usar AFV em suas contas, os criminosos cibernéticos poderão facilmente fazer login com credenciais roubadas e acessar os seus dados confidenciais.

O que torna a TOTP uma das formas mais seguras de AFV é que os códigos são calculados independentemente pelas duas partes. Por isso, os códigos não precisam ser comunicados entre as partes. O código não pode ser interceptado enquanto o algoritmo permanece secreto. O fato de o código ser alterado com tanta frequência fornece uma camada adicional de segurança.

Comparado a um código de verificação tradicional, geralmente enviado por e-mail ou texto, a TOTP é muito mais segura. Isso ocorre porque e-mails e mensagens de texto não são criptografados e podem ser facilmente interceptados por criminosos cibernéticos.

OTP vs TOTP vs HOTP

A diferença entre OTP, TOTP e HOTP é o tipo de fator usado para calcular o código de senha resultante.

Uma senha de uso único (OTP) é um termo abrangente que se refere a qualquer tipo de código de uso único usado para autenticação. Esses códigos de verificação podem ser gerados de diversas maneiras, algumas das quais podem ser mais seguras do que outras.

A TOTP, como estabelecemos, é um tipo de OTP que usa o tempo como fator no cálculo do código. O fator muda com o passar do tempo, o que significa que um novo código é gerado a cada 30 a 60 segundos. Como a TOTP muda com tanta frequência, é o tipo de OTP mais seguro.

A senha de uso único baseada em hash (HOTP) funciona de forma parecida, exceto que usa um fator diferente para calcular o código – neste caso, um código de autenticação de mensagem baseado em Hash (HMAC). Um HMAC conta o número de vezes que um código é solicitado e usa isso para calcular o código. O código muda cada vez que um código é solicitado, em vez de mudar a cada 30 a 60 segundos.

Comparando tipos de OTP

TOTP
- Usa a hora atual como base para geração de códigos
- Altera a cada 30 a 60 segundos
- Método mais seguro
HOTP
- Usa a contagem de solicitações de código como base para gerar códigos
- Permanece igual até que um novo código seja solicitado
- Ainda é seguro, mas menos que a TOTP

As senhas de uso único baseadas em tempo são uma solução conveniente para proteger suas contas. O Keeper Password Manager simplifica a configuração da TOTP para todas as suas contas, além de gerar senhas complexas. Com o KeeperFill, o processo de login é muito fácil. O Keeper preencherá automaticamente sua senha e códigos TOTP para que suas contas possam ficar seguras sem a inconveniência de outros métodos de AVF.