Czym są Time based One Time Passwords (TOTP)?
Time based One Time Passwords (TOTP) to metoda, która dostarcza krótkie, wygasające kody do potwierdzania logowania. Twój telefon i usługa mają wspólny sekret i znają aktualny czas, więc niezależnie uzyskują ten sam sześciocyfrowy kod. Wyobraź to sobie jak zmieniającą się kombinację zamka, prościej się nie da.
TOTP potrzebuje zasięgu telefonu, by działać. Nieprawda. Aplikacja generuje kody na urządzeniu korzystając z czasu i wspólnego sekretu, więc działa nawet w trybie samolotowym.
Jak działają Time based One Time Passwords (TOTP)
Taki jest przebieg, gdy włączysz tę opcję dla logowania na giełdzie lub w portfelu.
- Start: W ustawieniach zabezpieczeń wybierasz opcję aplikacji uwierzytelniającej i skanujesz kod QR.
- Secret: Twoja aplikacja zapisuje wspólny seed, często nazywany secret key, który paruje urządzenie z usługą.
- Sync: Obie strony odczytują ten sam zegar w krótkich odcinkach czasu i wykonują standardowe obliczenia, by uzyskać sześciocyfrowy kod.
- Enter: Przy logowaniu wpisujesz kod zanim timer przejdzie dalej.
- Verify: Usługa weryfikuje kod tymi samymi obliczeniami i umożliwia dostęp, jeśli się zgadza.
To wszystko.
Dlaczego Time based One Time Passwords (TOTP) ma znaczenie
Odpowiedź w prostych słowach:
- Korzyść: Zapobiega wielu przejęciom kont nawet gdy ktoś zna twoje hasło.
- Perspektywa: Kody SMS mogą być słabe z powodu kradzieży karty SIM, więc TOTP to mocniejszy drugi krok. Większość usług pozwala włączyć two factor authentication 2FA z użyciem aplikacji uwierzytelniającej.
- Zastosowanie: Spotkasz to na giełdach, rynkach NFT, w panelach DeFi i w portalach przechowywania aktywów.
Zapisz lub bezpiecznie przechowaj seed podczas konfiguracji i ustaw automatyczną aktualizację czasu w telefonie. Utrata seeda lub duże rozjechanie czasu może spowodować brak dostępu.
Kluczowe cechy Time based One Time Passwords (TOTP)
Szybkie informacje warte zapamiętania:
- Wygasanie: Kody są ważne około trzydziestu sekund, potem się zmieniają.
- Offline: Po ustawieniu aplikacja tworzy kody bez internetu.
- Wspólny sekret: Obie strony polegają na tym samym sekrecie zapisywanym przy konfiguracji.
- Otwarty standard: Opiera się na publicznym RFC, dlatego wiele aplikacji go obsługuje.
Jak obliczane są Time based One Time Passwords (TOTP)?
Pod maską TOTP używa funkcji jednokierunkowej z czasem jako wejściem. Nie musisz robić tego ręcznie, ale idea jest taka:
TOTP code = Truncate(HMAC SHA 1(secret, counter)) mod 10^digits counter = floor(unix time in seconds divided by step) step = 30 and digits = 6 in most apps Warianty
Główne wersje, które zobaczysz:
- HOTP: Kod oparty na liczniku, który zwiększa się przy każdym użyciu, nie powiązany z czasem.
- Push: Powiadomienie w aplikacji, które akceptujesz, pokrewne do TOTP bez wpisywania kodu.
- Sprzętowe: Mały token pokazujący kody na ekranie lub brelok.
- Multi: Aplikacje przechowujące wiele kont i opcje kopii zapasowych do odzyskiwania.
TOTP nie ochroni cię, jeśli wpiszesz prawidłowy kod na fałszywej stronie. Zachowaj ostrożność wobec zagrożeń phishingowych i zawsze sprawdź pasek adresu przed potwierdzeniem.
Przykład
Logujesz się na giełdzie kryptowalut, wpisujesz hasło, potem otwierasz aplikację uwierzytelniającą i wpisujesz sześciocyfrowy Time based One Time Passwords (TOTP), który wygasa za trzydzieści sekund.
Ciekawostka
TOTP został ustandaryzowany w RFC 6238 przez społeczność OATH i jest cichym fundamentem stojącym za Google Authenticator i wieloma innymi aplikacjami. Trochę Rolex, trochę wątki na forach, ale dla kodów logowania.
Podsumowanie
Pomyśl o TOTP jak o małym zsynchronizowanym z czasem zamku, który utrudnia kradzież logowania i jest prosty w użyciu.