Что такое Time based One Time Passwords (TOTP)?
Time based One Time Passwords (TOTP) это метод, который выдаёт короткие одноразовые коды с истечением срока действия для подтверждения входа. Ваш телефон и сервис знают общий секрет и текущее время, поэтому оба независимо получают один и тот же шестизначный код. Представьте себе меняющийся прямо перед вами код от замка, всё очень просто.
TOTP требует сигнала оператора для работы. Нет. Приложение генерирует коды на устройстве на основе времени и общего секрета, поэтому оно работает даже в авиарежиме.
Как работает Time based One Time Passwords (TOTP)
Вот последовательность действий при включении для входа на биржу или в кошелёк.
- Запуск: В настройках безопасности вы выбираете опцию для приложения-аутентификатора и сканируете QR код.
- Секрет: Ваше приложение сохраняет общий ключ, часто называемый секретный ключ, который связывает ваше устройство и сервис.
- Синхронизация: Обе стороны читают один и тот же таймер в коротких интервалах и выполняют стандартные вычисления, чтобы получить шестизначный код.
- Ввод: При входе вы вводите код до того, как таймер обновит значение.
- Проверка: Сервис сверяет код теми же вычислениями и пропускает вас, если он совпадает.
Да, именно так.
Почему Time based One Time Passwords (TOTP) важен
Коротко о пользе:
- Преимущество: Он предотвращает многие захваты аккаунтов, даже если кто-то знает ваш пароль.
- Перспектива: SMS коды могут быть небезопасными из за подмены SIM карты, поэтому TOTP даёт более надёжный второй шаг. Большинство сервисов позволяют включить двухфакторную аутентификацию 2FA через приложение-аутентификатор.
- Актуальность: Вы встретите его на биржах, маркетплейсах NFT, в интерфейсах DeFi и в порталах кастодиальных сервисов.
Запишите или сохраните seed в надёжном месте при настройке и держите часы на телефоне в автоматическом обновлении. Потеря seed или сильный сдвиг времени приведут к блокировке доступа.
Ключевые характеристики Time based One Time Passwords (TOTP)
Краткие важные черты:
- Срок действия: Коды действуют примерно тридцать секунд, затем меняются.
- Оффлайн: После настройки приложение генерирует коды без доступа в интернет.
- Общий секрет: Обе стороны зависят от одного и того же секрета, сохранённого при настройке.
- Открытый стандарт: Основано на публичном RFC, поэтому многие приложения его поддерживают.
Как рассчитывается Time based One Time Passwords (TOTP)?
Внутри TOTP использует одностороннюю функцию с временем как входным значением. Вам не нужно делать это вручную, но идея такая:
TOTP code = Truncate(HMAC SHA 1(secret, counter)) mod 10^digits counter = floor(unix time in seconds divided by step) step = 30 and digits = 6 in most apps Вариации
Основные варианты, с которыми вы столкнётесь:
- HOTP: Код на основе счётчика, который увеличивается при каждом использовании, не привязан к времени.
- Push: Уведомление в приложении, которое вы подтверждаете, родственное TOTP, но без ввода кода.
- Аппаратные решения: Небольшой токен с экраном или брелок, показывающий коды.
- Мультиаккаунты: Приложения, которые хранят множество аккаунтов и предлагают варианты резервного восстановления.
TOTP не спасёт, если вы введёте действующий код на фишинговом сайте. Будьте внимательны к рискам фишинга и всегда проверяйте адресную строку перед подтверждением.
Пример
Вы заходите на криптобиржу, вводите пароль, затем открываете приложение-аутентификатор и вводите шестизначный Time based One Time Passwords (TOTP), который истекает через тридцать секунд.
Интересный факт
TOTP был стандартизирован в RFC 6238 сообществом OATH, и он является тихой опорой Google Authenticator и многих других приложений. Это как сочетание точности Rolex и обсуждений на Reddit, но для кодов входа.
Итог
Думайте о TOTP как о небольшом синхронизированном по времени замке, который делает вход сложнее для похищения и простым в использовании.