Vad är Time based One Time Passwords (TOTP)?

Time based One Time Passwords (TOTP) är en metod som ger korta, tidsbegränsade koder för att bekräfta en inloggning. Din telefon och tjänsten delar en hemlighet och känner till aktuell tid, så båda kommer fram till samma sexsiffriga kod oberoende av varandra. Tänk på det som en låskombination som ändras hela tiden medan du tittar på, ja, det är så enkelt.

Myt

TOTP behöver mobilnät för att fungera. Nej. Appen skapar koder på din enhet med tid och en delad hemlighet, så det fungerar även i flygplansläge.

Hur Time based One Time Passwords (TOTP) fungerar

Så här går det till när du aktiverar det för inloggning på en börs eller i en plånbok.

Start: I säkerhetsinställningarna väljer du alternativet för en autentiseringsapp och skannar QR-koden.
Hemlighet: Din app sparar en delad hemlighet, ofta kallad en hemlig nyckel, som parar ihop din enhet med tjänsten.
Synkronisering: Båda parter läser samma klocka i korta tidsintervall och kör den standardiserade beräkningen för att skapa en sexsiffrig kod.
Skriv in: Vid inloggning skriver du koden innan timern löper över.
Verifiera: Tjänsten kontrollerar koden med samma beräkning och släpper in dig om den stämmer.

Ja, det är allt.

Varför Time based One Time Passwords (TOTP) är viktigt

Svara på ”så vad” enkelt:

Fördel: Det stoppar många kontokapningar även om någon känner till ditt lösenord.
Perspektiv: SMS-koder kan vara svaga på grund av SIM-omflyttningar, så TOTP är ett starkare andra steg. De flesta tjänster låter dig aktivera tvåfaktorsautentisering 2FA med en autentiseringsapp.
Var det förekommer: Du kommer att träffa det på börser, NFT-marknader, DeFi-instrument och förvaringsportaler.

Tips

Skriv ner eller spara hemligheten på ett säkert sätt när du ställer in det, och låt telefonens klocka uppdateras automatiskt. Förlorar du hemligheten och tidsskillnaden blir stor leder det till att du låses ute.

Viktiga egenskaper för Time based One Time Passwords (TOTP)

Snabba punkter värda att veta:

Utgångstid: Koder gäller i ungefär trettio sekunder, sedan byts de.
Offline: När det väl är inställt skapar appen koder utan internetuppkoppling.
Delad: Båda sidor förlitar sig på samma hemlighet som sparas vid inställningen.
Öppen: Baserad på en offentlig RFC, vilket är varför många appar stödjer det.

Hur beräknas Time based One Time Passwords (TOTP)?

Under ytan använder TOTP en envägsfunktion med tid som indata. Du behöver inte göra detta för hand, men här är idén:

TOTP code = Truncate(HMAC SHA 1(secret, counter)) mod 10^digits
counter = floor(unix time in seconds divided by step)
step = 30 and digits = 6 in most apps

Varianter

Huvudvarianter du kommer att se:

HOTP: En räknarbaserad kod som avancerar vid varje användning, inte bunden till tid.
Push: En app-prompt du godkänner, en släkting till TOTP utan att du behöver skriva kod.
Hårdvara: En liten token som visar koder på en skärm eller nyckelring.
Multi: Appar som lagrar många konton och backupalternativ för återställning.

Påminnelse

TOTP kan inte rädda dig om du skriver in en giltig kod på en falsk webbplats. Var vaksam mot nätfiske och kontrollera alltid adressfältet innan du bekräftar.

Exempel

Du loggar in på en kryptobörs, anger ditt lösenord, öppnar sedan din autentiseringsapp och skriver en sexsiffrig Time based One Time Passwords (TOTP) som går ut om trettio sekunder.

Kul fakta

TOTP standardiserades i RFC 6238 av OATH-communityn, och det är den tysta ryggraden bakom Google Authenticator och många andra appar. Rolex möter Reddittrådar, men för inloggningskoder.

Sammanfattning

Tänk på TOTP som ett litet tidsynkat lås som gör din inloggning svårare att kapa och enkelt att använda.

Time based One Time Passwords (TOTP)