Time based One Time Passwords (TOTP) là gì?

Time based One Time Passwords (TOTP) là một phương pháp cung cấp các mã ngắn có thời hạn để xác nhận đăng nhập. Điện thoại của bạn và dịch vụ cùng biết một bí mật chung và thời gian hiện tại, nên cả hai bên độc lập tạo ra cùng một mã sáu chữ số. Hãy tưởng tượng một mã khóa tủ thay đổi ngay trước mắt bạn, thật đơn giản.

Hiểu lầm

Time based One Time Passwords (TOTP) cần sóng điện thoại để hoạt động. Không đúng. Ứng dụng tạo mã trên thiết bị của bạn dựa trên thời gian và bí mật chung, nên vẫn hoạt động khi ở chế độ máy bay.

Cách Time based One Time Passwords (TOTP) hoạt động

Đây là quy trình khi bạn bật tính năng này cho đăng nhập sàn giao dịch hoặc ví.

Bắt đầu: Trong cài đặt bảo mật, bạn chọn tùy chọn ứng dụng xác thực và quét mã QR.
Bí mật: Ứng dụng của bạn lưu một hạt giống chung, thường gọi là khóa bí mật, để ghép thiết bị của bạn với dịch vụ.
Đồng bộ: Cả hai bên đọc cùng một đồng hồ theo các khoảng thời gian ngắn và chạy phép toán theo chuẩn để tạo mã sáu chữ số.
Nhập: Khi đăng nhập bạn nhập mã trước khi bộ đếm thời gian chuyển sang mã tiếp theo.
Xác minh: Dịch vụ kiểm tra mã bằng phép toán giống vậy và cho phép bạn truy cập nếu khớp.

Đó là tất cả.

Tại sao Time based One Time Passwords (TOTP) quan trọng

Giải thích “vậy có ý nghĩa gì” bằng cách đơn giản:

Lợi ích: Ngăn chặn nhiều vụ chiếm quyền tài khoản ngay cả khi ai đó biết mật khẩu của bạn.
Góc nhìn: Mã SMS dễ bị tấn công do tráo SIM, nên Time based One Time Passwords (TOTP) là bước xác thực thứ hai mạnh hơn. Hầu hết dịch vụ cho phép bạn bật xác thực hai yếu tố 2FA bằng ứng dụng xác thực.
Tính áp dụng: Bạn sẽ gặp nó trên các sàn giao dịch, thị trường NFT, bảng điều khiển DeFi và các cổng lưu ký.

Mẹo

Ghi lại hoặc lưu trữ an toàn hạt giống khi bạn thiết lập, và để đồng hồ điện thoại tự động cập nhật. Mất hạt giống và lệch giờ đồng nghĩa bạn sẽ không vào được.

Các đặc điểm chính của Time based One Time Passwords (TOTP)

Một số đặc điểm nhanh đáng biết:

Hết hạn: Mã tồn tại khoảng ba mươi giây, sau đó thay đổi.
Ngoại tuyến: Khi đã thiết lập, ứng dụng tạo mã mà không cần internet.
Chung: Cả hai bên phụ thuộc vào cùng một bí mật được lưu khi thiết lập.
Mở: Dựa trên một RFC công khai, đó là lý do nhiều ứng dụng hỗ trợ nó.

Time based One Time Passwords (TOTP) được tính như thế nào?

Về thuật toán, TOTP dùng một hàm một chiều với thời gian làm đầu vào. Bạn không cần làm điều này thủ công, nhưng đây là ý tưởng:

TOTP code = Truncate(HMAC SHA 1(secret, counter)) mod 10^digits
counter = floor(unix time in seconds divided by step)
step = 30 and digits = 6 in most apps

Biến thể

Các dạng chính bạn sẽ gặp:

HOTP: Mã dựa trên bộ đếm, tăng sau mỗi lần sử dụng, không phụ thuộc vào thời gian.
Push: Một thông báo trong ứng dụng để bạn chấp nhận, dạng họ hàng của TOTP không cần nhập mã.
Phần cứng: Một thiết bị nhỏ hiển thị mã trên màn hình hoặc móc khóa.
Đa tài khoản: Ứng dụng lưu nhiều tài khoản và cung cấp tùy chọn sao lưu để khôi phục.

Nhắc nhở

Time based One Time Passwords (TOTP) không thể cứu bạn nếu bạn nhập mã hợp lệ trên một trang giả mạo. Hãy cẩn trọng với rủi ro lừa đảo và luôn kiểm tra thanh địa chỉ trước khi xác nhận.

Ví dụ

Bạn đăng nhập vào một sàn tiền mã hóa, nhập mật khẩu, rồi mở ứng dụng xác thực để nhập một mã sáu chữ số Time based One Time Passwords (TOTP) có hiệu lực trong ba mươi giây.

Sự thật thú vị

Time based One Time Passwords (TOTP) được chuẩn hóa trong RFC 6238 bởi cộng đồng OATH, và nó là nền tảng thầm lặng đằng sau Google Authenticator và nhiều ứng dụng khác. Đó là sự kết hợp giữa độ tin cậy cao và thảo luận cộng đồng, nhưng dành cho mã đăng nhập.

Tổng kết

Hãy coi Time based One Time Passwords (TOTP) như một ổ khóa nhỏ đồng bộ theo thời gian, giúp việc đăng nhập khó bị đánh cắp hơn và vẫn dễ dùng.

Time based One Time Passwords (TOTP)