Co jsou Time based One Time Passwords (TOTP)?
Time based One Time Passwords (TOTP) je metoda, která vám poskytuje krátké, časově omezené kódy pro potvrzení přihlášení. Váš telefon i služba znají sdílené tajemství a aktuální čas, takže nezávisle vygenerují stejný šestimístný kód. Představte si zámek na skříňku, jehož kombinace se mění přímo před očima ano, je to tak jednoduché.
TOTP nepotřebuje signál mobilní sítě, aby fungovalo. Aplikace vytváří kódy přímo v zařízení na základě času a sdíleného tajemství, takže funguje i v režimu letadlo.
Jak funguje Time based One Time Passwords (TOTP)
Toto je postup, když jej zapnete pro přihlášení na burzu nebo do peněženky.
- Začátek: V nastavení zabezpečení zvolíte možnost pro autentizační aplikaci a naskenujete QR kód.
- Tajemství: Vaše aplikace uloží sdílené počáteční tajemství, často nazývané tajný klíč, které spáruje vaše zařízení se službou.
- Synchronizace: Obě strany čtou stejný čas ve krátkých intervalech a provedou standardní výpočet pro vytvoření šestimístného kódu.
- Zadání: Při přihlášení zadáte kód dřív, než vyprší odpočítávání.
- Ověření: Služba zkontroluje kód stejným výpočtem a pustí vás, pokud se shodují.
Ano, tím to končí.
Proč jsou Time based One Time Passwords (TOTP) důležité
V jednoduchých slovech:
- Výhoda: Zabraňuje mnoha převzetím účtů i pokud někdo zná vaše heslo.
- Pohled: SMS kódy mohou být slabé kvůli přesměrování SIM, proto je TOTP silnějším druhým krokem. Většina služeb umožňuje povolit dvofaktorové ověřování 2FA pomocí autentizační aplikace.
- Výskyt: Potkáte ho na burzách, trzích s NFT, DeFi panelech a v portálech pro úschovu.
Zapište si nebo bezpečně uložte počáteční tajemství při nastavení a mějte v telefonu povolené automatické nastavování času. Ztratíte-li tajemství a dojde k posunu času, může to znamenat ztrátu přístupu.
Hlavní vlastnosti Time based One Time Passwords (TOTP)
Rychlé rysy, které stojí za to znát:
- Platnost: Kódy platí přibližně třicet sekund, pak se změní.
- Offline: Po nastavení aplikace vytváří kódy bez připojení k internetu.
- Sdílené: Obě strany závisí na stejném tajemství uloženém při nastavení.
- Otevřené: Založeno na veřejném RFC, proto mnoho aplikací tuto metodu podporuje.
Jak se vypočítává Time based One Time Passwords (TOTP)?
Pod povrchem TOTP používá jednocestnou funkci s časem jako vstupem. Nemusíte to počítat ručně, ale tady je princip:
TOTP code = Truncate(HMAC SHA 1(secret, counter)) mod 10^digits counter = floor(unix time in seconds divided by step) step = 30 and digits = 6 in most apps Varianty
Hlavní typy, na které narazíte:
- HOTP: Kód založený na čítači, který se posouvá při každém použití, není vázán na čas.
- Push: Výzva v aplikaci, kterou potvrdíte, příbuzné k TOTP bez nutnosti psát kód.
- Hardware: Malé zařízení, které zobrazuje kódy na obrazovce nebo jako přívěsek.
- Multi: Aplikace, které ukládají více účtů a nabízejí zálohy pro obnovení přístupu.
TOTP vám nepomůže, pokud zadáte platný kód na falešném webu. Dávejte pozor na rizika phishingu a vždy zkontrolujte adresní řádek před potvrzením.
Příklad
Přihlásíte se na krypto burzu, zadáte heslo, pak otevřete autentizační aplikaci a zadáte šestimístný Time based One Time Passwords (TOTP), který vyprší za třicet sekund.
Zajímavost
TOTP byl standardizován v RFC 6238 komunitou OATH a je tichou oporou za Google Authenticator a mnoha dalšími aplikacemi. Luxusní hodinky potkávají redditové diskuze, ale jde o kódy pro přihlášení.
Shrnutí
Považujte TOTP za malý časově synchronizovaný zámek, který ztěžuje odcizení přihlášení a zároveň je snadný na použití.