Che cos'è Time based One Time Passwords (TOTP)?
Time based One Time Passwords (TOTP) è un metodo che fornisce codici brevi e a scadenza per confermare un accesso. Il tuo telefono e il servizio conoscono entrambi un segreto condiviso e l'ora corrente, quindi arrivano in modo indipendente allo stesso codice di sei cifre. Immagina una combinazione per un armadietto che cambia mentre la osservi, sì, è così semplice.
TOTP non ha bisogno del segnale telefonico per funzionare. No. L'app crea i codici sul tuo dispositivo usando l'ora e un segreto condiviso, quindi funziona anche in modalità aereo.
Come funziona Time based One Time Passwords (TOTP)
Ecco il flusso quando lo attivi per l'accesso a un exchange o a un wallet.
- Inizio: Nelle impostazioni di sicurezza scegli l'opzione per un'app di autenticazione e scansiona il codice QR.
- Segreto: La tua app memorizza un seed condiviso, spesso chiamato chiave segreta, che collega il tuo dispositivo al servizio.
- Sincronizzazione: Entrambe le parti leggono lo stesso orologio in intervalli brevi ed eseguono i calcoli standard per generare un codice di sei cifre.
- Inserimento: Al momento dell'accesso digiti il codice prima che il timer scada.
- Verifica: Il servizio controlla il codice con gli stessi calcoli e ti autorizza se corrisponde.
Sì, è tutto qui.
Perché Time based One Time Passwords (TOTP) è importante
Spiegazione semplice del “e quindi”:
- Vantaggio: Previene molte acquisizioni di account anche se qualcuno conosce la tua password.
- Prospettiva: I codici via SMS possono essere a rischio a causa di swap della SIM, quindi TOTP rappresenta un secondo passaggio più sicuro. La maggior parte dei servizi ti permette di abilitare autenticazione a due fattori 2FA con un'app di autenticazione.
- Rilevanza: Lo troverai su exchange, mercati NFT, dashboard DeFi e portali di custodia.
Annota o conserva in modo sicuro il seed quando lo configuri e mantieni l'orologio del telefono aggiornato automaticamente. Se perdi il seed e l'orologio si scosta, resti bloccato.
Caratteristiche principali di Time based One Time Passwords (TOTP)
Brevi punti da conoscere:
- Scadenza: I codici durano circa trenta secondi, poi cambiano.
- Offline: Una volta impostata, l'app genera i codici senza connessione internet.
- Condivisione: Entrambe le parti si basano sullo stesso segreto memorizzato durante la configurazione.
- Aperto: Si basa su un RFC pubblico, per questo molte app lo supportano.
Come viene calcolato Time based One Time Passwords (TOTP)?
Sotto il cofano, TOTP usa una funzione monodirezionale con il tempo come input. Non è necessario farlo a mano, ma ecco l'idea:
TOTP code = Truncate(HMAC SHA 1(secret, counter)) mod 10^digits counter = floor(unix time in seconds divided by step) step = 30 and digits = 6 in most apps Varianti
Principali versioni che incontrerai:
- HOTP: Un codice basato su un contatore che avanza a ogni uso, non legato al tempo.
- Push: Una notifica dell'app che approvi, simile a TOTP senza digitare il codice.
- Hardware: Un piccolo token che mostra i codici su uno schermo o come portachiavi.
- Multi: App che memorizzano più account e offrono opzioni di backup per il recupero.
TOTP non può proteggerti se inserisci un codice valido su un sito falso. Fai attenzione ai rischi di phishing e controlla sempre la barra degli indirizzi prima di confermare.
Esempio
Effettui l'accesso a un exchange crypto, inserisci la password, poi apri l'app di autenticazione per digitare un codice Time based One Time Passwords (TOTP) di sei cifre che scade in trenta secondi.
Curiosità
TOTP è stato standardizzato nell'RFC 6238 dalla community OATH ed è il motore silenzioso dietro Google Authenticator e molte altre app. Rolex incontra i thread di Reddit, ma per i codici di accesso.
Riepilogo
Considera TOTP come una piccola serratura sincronizzata con il tempo che rende l'accesso più difficile da compromettere e semplice da usare.