Що таке Time based One Time Passwords (TOTP)?
Time based One Time Passwords (TOTP) це метод, який дає короткі коди з обмеженим терміном дії для підтвердження входу. Ваш телефон і сервіс мають спільний секрет і поточний час, тому обидва незалежно отримують той самий шестизначний код. Уявіть собі комбінацію від шафки, яка змінюється просто перед вами, так, усе дуже просто.
Time based One Time Passwords (TOTP) потребує мобільного сигналу для роботи. Ні. Додаток генерує коди на вашому пристрої, використовуючи час і спільний секрет, тому він працює навіть у режимі польоту.
Як працює Time based One Time Passwords (TOTP)
Ось порядок дій, коли ви вмикаєте його для входу на біржу або в гаманець.
- Початок: У налаштуваннях безпеки ви обираєте опцію для додатка-автентифікації і скануєте QR-код.
- Секрет: Ваш додаток зберігає спільний seed, часто званий секретний ключ, який зв’язує ваш пристрій із сервісом.
- Синхронізація: Обидві сторони читають один і той самий час у коротких інтервалах і виконують стандартні обчислення, щоб отримати шестизначний код.
- Введення: При вході ви вводите код до закінчення таймера.
- Перевірка: Сервіс перевіряє код тим самим алгоритмом і дозволяє доступ, якщо код співпадає.
Ось і все.
Чому Time based One Time Passwords (TOTP) має значення
Пояснення простими словами:
- Перевага: Захищає від багатьох спроб захоплення акаунтів, навіть якщо хтось знає ваш пароль.
- Порада: Коди SMS можуть бути ненадійними через підміну SIM-карти, тому Time based One Time Passwords (TOTP) є надійнішим другим кроком. Більшість сервісів дозволяють увімкнути двофакторну аутентифікацію 2FA за допомогою додатка автентифікації.
- Де зустрічається: Ви побачите це на біржах, ринках NFT, панелях DeFi і в порталах кастодіального зберігання.
Запишіть або надійно збережіть seed під час налаштування і тримайте годинник телефона в режимі автоматичної синхронізації часу. Втрата seed або значний зсув часу може призвести до неможливості доступу.
Основні характеристики Time based One Time Passwords (TOTP)
Короткі властивості, які варто знати:
- Термін дії: Коди діють приблизно 30 секунд, після чого змінюються.
- Офлайн: Після налаштування додаток генерує коди без підключення до інтернету.
- Спільний секрет: Обидві сторони покладаються на той самий секрет, збережений під час налаштування.
- Відкритий стандарт: Базується на публічному RFC, тому багато додатків його підтримують.
Як обчислюється Time based One Time Passwords (TOTP)?
В основі Time based One Time Passwords (TOTP) лежить одностороння функція з часом як вхідним параметром. Вам не потрібно робити це вручну, але ось ідея:
TOTP code = Truncate(HMAC SHA 1(secret, counter)) mod 10^digits counter = floor(unix time in seconds divided by step) step = 30 and digits = 6 in most apps Варіанти
Основні варіанти, які ви побачите:
- HOTP: Код на основі лічильника, який просувається при кожному використанні і не прив'язаний до часу.
- Push: Сповіщення в додатку, яке ви підтверджуєте, подібне до Time based One Time Passwords (TOTP), але без введення коду.
- Апаратні пристрої: Невеликий токен, який показує коди на екрані або у вигляді брелока.
- Мультиаккаунти: Додатки, що зберігають багато облікових записів і пропонують варіанти резервного копіювання для відновлення.
Time based One Time Passwords (TOTP) не врятує вас, якщо ви введете дійсний код на підробному сайті. Будьте уважні щодо ризиків фішингу і завжди перевіряйте адресний рядок перед підтвердженням.
Приклад
Ви входите на криптобіржу, вводите пароль, потім відкриваєте додаток автентифікації і вводите шестизначний Time based One Time Passwords (TOTP), який діє 30 секунд.
Цікавий факт
Time based One Time Passwords (TOTP) був стандартизований у RFC 6238 спільнотою OATH і є тихою основою Google Authenticator та багатьох інших додатків. Це як поєднання Rolex і Reddit, але для кодів входу.
Підсумок
Уявіть Time based One Time Passwords (TOTP) як невеликий синхронізований за часом замок, що ускладнює викрадення доступу і водночас простий у використанні.