Hvad er Time based One Time Passwords (TOTP)?

Time based One Time Passwords (TOTP) er en metode, der giver kortvarige koder, som udløber, til at bekræfte et login. Din telefon og tjenesten kender begge en delt hemmelighed og det aktuelle klokkeslæt, så de uafhængigt kommer frem til den samme sekscifrede kode. Forestil dig en kodelås, der bliver ved med at ændre sig mens du ser på, ja, det er så enkelt.

Myte

Time based One Time Passwords (TOTP) kræver ikke mobilsignal for at fungere. Appen skaber koder lokalt på din enhed ved hjælp af tid og en delt hemmelighed, så den virker også i flytilstand.

Hvordan Time based One Time Passwords (TOTP) fungerer

Her er forløbet når du aktiverer det for login på en børs eller i en wallet.

Start: I sikkerhedsindstillinger vælger du valgmuligheden for en autentifikatorapp og scanner QR koden.
Hemmelighed: Din app gemmer et delt seed, ofte kaldet en hemmelig nøgle, som parrer din enhed med tjenesten.
Synk: Begge parter aflæser samme ur i korte tidsintervaller og udfører standardberegningen for at lave en sekscifret kode.
Indtast: Ved login indtaster du koden inden tiden udløber.
Bekræft: Tjenesten kontrollerer koden med samme beregning og giver dig adgang hvis den passer.

Ja, det er det.

Hvorfor Time based One Time Passwords (TOTP) betyder noget

Forklar kort hvorfor det betyder noget:

Fordel: Det forhindrer mange kontoovertagelser, selv hvis nogen kender din adgangskode.
Synspunkt: SMS koder kan være sårbare på grund af SIM swap, så Time based One Time Passwords (TOTP) er et stærkere andet lag. De fleste tjenester giver dig mulighed for at aktivere tofaktorautentificering 2FA med en autentifikatorapp.
Anvendelse: Du møder det på børser, NFT markedspladser, DeFi dashboards og opbevaringsportaler.

Tip

Skriv seedet ned eller opbevar det sikkert når du sætter det op, og hold telefonens ur indstillet til automatisk opdatering. Mister du seedet og dit ur ikke er korrekt synkroniseret, kan det medføre at du bliver låst ude.

Vigtige kendetegn ved Time based One Time Passwords (TOTP)

Korte karakteristika værd at kende:

Udløb: Koder varer omkring tredive sekunder, derefter skifter de.
Offline: Når den er sat op, laver appen koder uden internetforbindelse.
Delt: Begge parter er afhængige af den samme hemmelighed, gemt ved opsætning.
Åben: Baseret på en offentlig RFC, hvilket er grunden til at mange apps understøtter det.

Hvordan beregnes Time based One Time Passwords (TOTP)?

Under overfladen bruger Time based One Time Passwords (TOTP) en envejsfunktion med tid som input. Du behøver ikke gøre dette manuelt, men her er ideen:

TOTP code = Truncate(HMAC SHA 1(secret, counter)) mod 10^digits
counter = floor(unix time in seconds divided by step)
step = 30 and digits = 6 in most apps

Variationer

Hovedvarianter du vil se:

HOTP: En tællerbaseret kode der avancerer ved hver brug, ikke bundet til tid.
Push: En appprompt du godkender, en nær variant af Time based One Time Passwords (TOTP) uden kodeindtastning.
Hardware: En lille enhed der viser koder på en skærm eller som en nøglebrik.
Multi: Apps der gemmer mange konti og backupmuligheder til gendannelse.

Påmindelse

Time based One Time Passwords (TOTP) kan ikke redde dig hvis du indtaster en gyldig kode på et falsk site. Vær opmærksom på phishingrisici og tjek altid adresselinjen før du bekræfter.

Eksempel

Du logger ind på en kryptobørs, indtaster din adgangskode, åbner derefter din autentifikatorapp for at skrive en sekscifret Time based One Time Passwords (TOTP) som udløber om tredive sekunder.

Sjovt faktum

Time based One Time Passwords (TOTP) blev standardiseret i RFC 6238 af OATH fællesskabet, og det er den stille drivkraft bag Google Authenticator og mange andre apps. Tænk Rolex møder Reddit tråde, men for loginkoder.

Opsummering

Tænk på Time based One Time Passwords (TOTP) som en lille lås synkroniseret med tiden der gør dit login vanskeligere at stjæle og nemt at bruge.

Time based One Time Passwords (TOTP)