Что такое одноразовый пароль на основе времени (TOTP)?
- Глоссарий IAM
- Что такое одноразовый пароль на основе времени (TOTP)?
Одноразовый пароль на основе времени (TOTP) представляет метод аутентификации, при котором уникальные коды генерируются каждые 30–60 секунд на основе определенного алгоритма. Используется для многофакторной аутентификации (MFA): пользователи вводят код TOTP после ввод пароля для подтверждения своей личности и получения доступа к своей учетной записи.
Как работает TOTP
TOTP основан на секретном алгоритме, генерирующем коды. Алгоритм, уникальный для каждого экземпляра, использует в качестве фактора текущее время. Это позволяет алгоритму генерировать новый уникальный код каждые 30–60 секунд.
Каждый раз, когда пользователь инициирует создание нового TOTP для учетной записи, серверы учетных записей генерируют уникальный секретный ключ, обычно отображаемый в виде QR-кода. Сервер хранит секрет и использует его для генерации кодов TOTP.
Пользователь сканирует QR-код с помощью инструмента аутентификации, которым может быть специальное приложение для телефона или функция менеджера паролей. Поскольку инструмент аутентификации теперь имеет секретный ключ, он вычисляет те же шестизначные коды, что и сервер.
После обмена секретным ключом алгоритм работает одновременно как на сервере, так и в инструменте аутентификации пользователя, создавая одни и те же шестизначные коды в одно и то же время.
Когда пользователь входит в систему, он вводит текущий код, отображаемый в его инструменте аутентификации. Сервер сравнит рассчитанный им код с кодом пользователя. Если коды совпадают, пользователь проходит верификацию и получает доступ.
Как использовать TOTP
Шаги использования TOTP:
Выберите инструмент аутентификации. Мы рекомендуем использовать менеджер паролей для генерации кодов TOTP, поскольку это упрощает процесс входа в систему и не требует использования нескольких устройств только для входа в свою учетную запись.
Запросите секретный код из своей учетной записи. Войдите в свою учетную запись и найдите настройки безопасности. Если коды TOTP входят в перечень вариантов MFA для вашей учетной записи, вы увидите настройку для запроса QR-кода.
Отсканируйте QR-код с помощью инструмента аутентификации. Какое бы приложение вы ни использовали, у вас будет возможность отсканировать QR-код, скорее всего, с помощью камеры телефона или функции создания снимков экрана.
Все готово! Каждый раз, когда вы входите в систему и сервер запрашивает код для аутентификации, обратитесь к инструменту аутентификации, в котором отображается этот код. Обязательно введите код до того, как истечет время и код изменится (обычно каждые 30–60 секунд).
Почему следует использовать TOTP-аутентификацию
TOTP – одна из наиболее безопасных и удобных форм многофакторной аутентификации (MFA), которая рекомендуется для всех учетных записей и обеспечивает дополнительный уровень защиты вашей учетной записи в дополнение к паролю. Если кто-то заимеет ваш пароль и попытается войти в учетную запись с включенной MFA, он не сможет получить доступ без второго фактора аутентификации.
Пароли часто компрометируются в результате массовой утечки данных и других кибератак. Это делает MFA жизненно важной. Если вы не используете MFA в своих учетных записях, киберпреступники могут легко войти в систему с украденными учетными данными и получить доступ к вашим конфиденциальным данным.
Что делает TOTP одной из наиболее безопасных форм MFA, так это то, что коды независимо вычисляются обеими сторонами. Из-за этого нет необходимости передавать коды между сторонами. Код невозможно перехватить, пока алгоритм создания кода остается секретным. Тот факт, что код меняется так часто, обеспечивает дополнительный уровень безопасности.
По сравнению с традиционным способом отправки кода верификации по электронной почте или в текстовом сообщении, метод TOTP гораздо более безопасен. Это связано с тем, что электронные письма и текстовые сообщения не шифруются и могут быть легко перехвачены киберпреступниками.
Сравнение OTP с TOTP и HOTP
Разница между OTP, TOTP и HOTP заключается в типе фактора, используемого для вычисления секретного кода.
Одноразовый пароль (OTP) — это общий термин, относящийся к любому виду одноразового кода, используемого для аутентификации. Такие одноразовые коды верификации могут генерироваться различными способами, некоторые из которых могут быть более безопасными, чем другие.
TOTP, как мы уже говорили, — это вид OTP, в котором использует время как фактор при вычислении кода. Фактор меняется с течением времени, а это означает, что новый код генерируется каждые 30–60 секунд. Поскольку TOTP меняется очень часто, это наиболее безопасный вид OTP.
Одноразовый пароль на основе хэша (HOTP) работает аналогично, за исключением того, что для вычисления кода используется другой фактор — в данном случае код аутентификации сообщения на основе хэша (HMAC). В HMAC подсчитывается количество запросов кода, и это значение использует для вычисления кода. Код меняется каждый раз, когда его запрашивают, а не каждые 30–60 секунд.
Одноразовые пароли на основе времени — удобное решение для защиты ваших учетных записей. Менеджер паролей Keeper упрощает настройку TOTP для всех ваших учетных записей, а также генерирует надежные пароли. С помощью KeeperFill процесс входа в систему становится проще простого. Keeper автоматически вводит ваш пароль и коды TOTP, чтобы ваши учетные записи были в безопасности, без неудобств, связанных с другими методами MFA.