Tidsbaserade engångslösenord (TOTP) är standardalgoritmen för engångslösenord. De expanderar på det hash-baserade meddelandeautentiseringskoden (HMAC) engångslösenordet (HMAC-based One-time Password, eller HOTP för kort).
TOTP kan användas i stället för, eller som en extra faktor vid sidan av, traditionella, längre livslängd tvåfaktors autentiseringslösningar, såsom SMS-meddelanden eller fysiska hårdvarutokens som kan stjälas eller glömmas lätt. Så vad exakt är tidsbaserade engångslösenord? Hur fungerar de?
Vad är en TOTP?
TOTP är en tillfällig engångskod som genereras i linje med den aktuella tiden av en algoritm för användarautentisering. Det är ett extra lager av säkerhet för dina konton som baseras på tvåfaktorsautentisering (2FA) eller multifaktorautentisering (MFA). Det betyder att efter att du har angett ditt användarnamn och lösenord måste du ange en viss kod som är tidsbaserad och kortlivad.
TOTP heter så eftersom det använder en standardalgoritm för att ta fram ett unikt och numeriskt engångslösenord med Greenwich Mean Time (GMT). Det vill säga att lösenordet genereras från den aktuella tiden under den perioden. Koderna genereras också från en delad hemlighet eller ett hemligt frölösenord som tillhandahålls vid användarregistrering hos autentiseringsservern, antingen genom QR-koder eller klartext.
Detta lösenord visas för användaren, som förväntas använda det under en viss tid, varefter det upphör att gälla. Användare anger engångslösenordet, deras användarnamn och vanliga lösenord i ett inloggningsformulär inom en begränsad tid. Efter utgången är koden inte giltig längre och kan inte användas på ett inloggningsformulär.
TOTP innehåller en sträng av dynamiska numeriska koder, vanligtvis mellan fyra och sex siffror, som ändras var 30:e till 60:e sekund. Internet Engineering Task Force (IETF) publicerade TOTP, beskriven i RFC 6238, och använder en standardalgoritm för att få ett engångslösenord.
Medlemmar av Initiativ för öppen autentisering (OATH) är hjärnan bakom TOTP: s uppfinning. Det såldes uteslutande under patent, och olika autentiseringsleverantörer har sedan dess marknadsfört det efter standardisering. Det används för närvarande flitigt av molnapplikation leverantörer. De är användarvänliga och tillgängliga för offlineanvändning, vilket gör dem idealiska för användning på flygplan eller när du inte har nätverkstäckning.
Hur fungerar en TOTP?
TOTP: er, som den andra auktoriseringsfaktorn på dina appar, ger dina konton ett extra lager av säkerhet eftersom du måste ange de numeriska engångskoderna innan du loggar in. De kallas i folkmun "programvarutokens", "mjuka tokens" och "appbaserad autentisering" och kan användas i autentiseringsappar tycka om Google Authenticator och Authy.
Hur det fungerar är att efter att du har angett ditt kontoanvändarnamn och lösenord, uppmanas du att lägga till en giltig TOTP-kod i ett annat inloggningsgränssnitt som bevis på att du äger kontot.
I vissa modeller kommer TOTP till dig på din smartphone via ett SMS-meddelande. Du kan också få koderna från en autentiseringssmarttelefonapplikation genom att skanna en QR-bild. Denna metod är den mest använda, och koderna upphör vanligtvis efter cirka 30 eller 60 sekunder. Vissa TOTP kan dock vara i 120 eller 240 sekunder.
Lösenordet skapas på din sida istället för serverns med hjälp av autentiseringsprogrammet. Av denna anledning har du alltid tillgång till din TOTP så att servern inte behöver skicka ett SMS när du loggar in.
Det finns andra metoder genom vilka du kan få din TOTP:
- Säkerhetstokens för maskinvara.
- E-postmeddelanden från servern.
- Röstmeddelanden från servern.
Eftersom TOTP är tidsbaserad och löper ut inom några sekunder, har hackare inte tillräckligt med tid att förutse dina lösenord. På så sätt ger de ytterligare säkerhet till det svagare autentiseringssystemet för användarnamn och lösenord.
Du vill till exempel logga in på din arbetsstation som använder TOTP. Du anger först ditt användarnamn och lösenord för kontot, och systemet uppmanar dig att ange en TOTP. Du kan sedan läsa den från din maskinvarutoken eller QR-bilden och skriva in den i TOTP-inloggningsfältet. När systemet har autentiserat lösenordet loggar det in dig på ditt konto.
TOTP-algoritmen som genererar lösenordet kräver din enhets tidsinmatning och ditt hemliga frö eller nyckel. Du behöver ingen internetanslutning för att generera och verifiera TOTP, vilket är anledningen till att autentiseringsappar kan fungera offline. TOTP är nödvändigt för användare som vill använda sina konton och behöver autentisering under resor på flygplan eller i avlägsna områden där nätverksanslutning inte är tillgänglig.
Hur autentiseras TOTP?
Följande process ger en enkel och kort guide om hur TOTP-autentiseringsprocessen fungerar.
När en användare vill ha tillgång till en applikation som en molnnätverksapplikation, uppmanas de att ange TOTP efter att ha angett sitt användarnamn och lösenord. De begär att 2FA ska aktiveras, och TOTP-tokenen använder TOTP-algoritmen för att generera OTP.
Användaren anger token på begäransidan och säkerhetssystemet konfigurerar sin TOTP med samma kombination av aktuell tid och den delade hemligheten eller nyckeln. Systemet jämför de två lösenorden; om de matchar, autentiseras användaren och ges åtkomst. Det är viktigt att notera att de flesta TOTP kommer att autentisera med QR-koder och bilder.
TOTP vs. HMAC-baserat engångslösenord
Det HMAC-baserade engångslösenordet gav ramverket som TOTP byggdes på. Både TOTP och HOTP delar likheter, eftersom båda systemen använder en hemlig nyckel som en av ingångarna för att generera lösenordet. Men medan TOTP använder den aktuella tiden som den andra ingången, använder HOTP en räknare.
Dessutom, vad gäller säkerhet, är TOTP säkrare än HOTP eftersom de genererade lösenorden förfaller efter 30 till 60 sekunder, varefter ett nytt genereras. I HOTP förblir lösenordet giltigt tills du använder det. Av denna anledning kan många hackare komma åt HOTP: er och använda dem för att utföra framgångsrika cyberattacker. Även om HOTP fortfarande används av vissa autentiseringstjänster kräver de flesta populära autentiseringsappar TOTP.
Vilka är fördelarna med att använda en TOTP?
TOTP: er är fördelaktiga eftersom de ger dig ett extra lager av säkerhet. Enbart användarnamn-lösenordssystemet är svagt och utsätts ofta för Man-in-the-Middle attacker. Men med de TOTP-baserade 2FA/MFA-systemen har hackarna inte tillräckligt med tid för att komma åt din TOTP även om de har stulit ditt traditionella lösenord, så de har små möjligheter att hacka ditt konton.
TOTP-autentisering ger ytterligare säkerhet
Cyberkriminella kan enkelt komma åt ditt användarnamn och lösenord och hacka ditt konto. Men med de TOTP-baserade 2FA/MFA-systemen kan du ha ett säkrare konto eftersom TOTP: er är tidsbundna och löper ut inom några sekunder. Att implementera TOTP är helt klart värt det.
