Οι κωδικοί πρόσβασης μιας χρήσης που βασίζονται στον χρόνο (TOTP) είναι ο τυπικός αλγόριθμος υπολογιστή μιας χρήσης κωδικού πρόσβασης. Επεκτείνονται στον κωδικό ελέγχου ταυτότητας μηνυμάτων που βασίζεται σε κατακερματισμό (HMAC) έναν κωδικό πρόσβασης μίας χρήσης (Κωδικός μίας χρήσης που βασίζεται σε HMAC ή για συντομία HOTP).
Τα TOTP μπορούν να χρησιμοποιηθούν αντί ή ως πρόσθετος παράγοντας παράλληλα με τα παραδοσιακά, μακροβιότερα δύο παραγόντων λύσεις ελέγχου ταυτότητας, όπως μηνύματα SMS ή φυσικά διακριτικά υλικού που μπορεί να κλαπούν ή να ξεχαστούν εύκολα. Τι ακριβώς είναι λοιπόν οι κωδικοί πρόσβασης μιας χρήσης που βασίζονται στον χρόνο; Πώς λειτουργούν;
Τι είναι το TOTP;
Το TOTP είναι ένας προσωρινός κωδικός πρόσβασης μιας χρήσης που δημιουργείται σύμφωνα με την τρέχουσα ώρα από έναν αλγόριθμο
για έλεγχο ταυτότητας χρήστη. Είναι ένα πρόσθετο επίπεδο ασφάλειας για τους λογαριασμούς σας στο οποίο βασίζεται έλεγχος ταυτότητας δύο παραγόντων (2FA) ή έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA). Αυτό σημαίνει ότι αφού εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασής σας, θα πρέπει να εισαγάγετε έναν συγκεκριμένο κωδικό που είναι χρονικά και βραχύβιος.Το TOTP ονομάζεται έτσι επειδή χρησιμοποιεί έναν τυπικό αλγόριθμο για την επεξεργασία ενός μοναδικού και αριθμητικού κωδικού πρόσβασης μίας χρήσης χρησιμοποιώντας τη μέση ώρα Greenwich (GMT). Δηλαδή, ο κωδικός πρόσβασης δημιουργείται από την τρέχουσα ώρα κατά τη διάρκεια αυτής της περιόδου. Οι κωδικοί δημιουργούνται επίσης από ένα κοινό μυστικό ή έναν μυστικό κωδικό πρόσβασης που παρέχεται κατά την εγγραφή του χρήστη στον διακομιστή ελέγχου ταυτότητας, είτε μέσω κωδικών QR είτε μέσω απλού κειμένου.
Αυτός ο κωδικός πρόσβασης εμφανίζεται στον χρήστη, ο οποίος αναμένεται να τον χρησιμοποιήσει για καθορισμένο χρονικό διάστημα, μετά τον οποίο λήγει. Οι χρήστες εισάγουν τον κωδικό πρόσβασης μίας χρήσης, το όνομα χρήστη και τον κανονικό κωδικό πρόσβασής τους σε μια φόρμα σύνδεσης εντός περιορισμένου χρόνου. Μετά τη λήξη, ο κωδικός δεν είναι πλέον έγκυρος και δεν μπορεί να χρησιμοποιηθεί σε φόρμα σύνδεσης.
Τα TOTP περιλαμβάνουν μια σειρά δυναμικών αριθμητικών κωδικών, συνήθως μεταξύ τεσσάρων και έξι ψηφίων, που αλλάζουν κάθε 30 έως 60 δευτερόλεπτα. Η Task Force Μηχανικής Διαδικτύου (IETF) δημοσίευσε το TOTP, που περιγράφεται στο RFC 6238, και χρησιμοποιεί έναν τυπικό αλγόριθμο για να αποκτήσει έναν κωδικό πρόσβασης μίας χρήσης.
Μέλη του Πρωτοβουλία για Open Authentication (OATH) είναι οι εγκέφαλοι πίσω από την εφεύρεση του TOTP. Πωλήθηκε αποκλειστικά με δίπλωμα ευρεσιτεχνίας και από τότε διάφοροι πωλητές ελέγχου ταυτότητας το κυκλοφόρησαν μετά από τυποποίηση. Αυτή τη στιγμή χρησιμοποιείται ευρέως από εφαρμογή cloud παρόχους. Είναι φιλικά προς το χρήστη και διαθέσιμα για χρήση εκτός σύνδεσης, γεγονός που τα καθιστά ιδανικά για χρήση σε αεροπλάνα ή όταν δεν έχετε κάλυψη δικτύου.
Πώς λειτουργεί ένα TOTP;
Τα TOTP, ως ο δεύτερος παράγοντας εξουσιοδότησης των εφαρμογών σας, παρέχουν στους λογαριασμούς σας ένα επιπλέον επίπεδο ασφάλειας, επειδή πρέπει να παρέχετε τους μοναδικούς αριθμητικούς κωδικούς πρόσβασης πριν συνδεθείτε. Ονομάζονται ευρέως "λογισμικά tokens", "soft tokens" και "authentication based on app" και βρίσκουν χρήση σε εφαρμογές ελέγχου ταυτότητας αρέσει Επαληθευτής Google και Authy.
Ο τρόπος που λειτουργεί είναι ότι αφού εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης του λογαριασμού σας, θα σας ζητηθεί να προσθέσετε έναν έγκυρο κωδικό TOTP σε μια άλλη διεπαφή σύνδεσης ως απόδειξη ότι σας ανήκει ο λογαριασμός.
Σε ορισμένα μοντέλα, το TOTP έρχεται σε εσάς στο smartphone σας μέσω ενός μηνύματος κειμένου SMS. Μπορείτε επίσης να λάβετε τους κωδικούς από μια εφαρμογή ελέγχου ταυτότητας smartphone σαρώνοντας μια εικόνα QR. Αυτή η μέθοδος είναι η πιο ευρέως χρησιμοποιούμενη και οι κωδικοί συνήθως λήγουν μετά από περίπου 30 ή 60 δευτερόλεπτα. Ωστόσο, ορισμένα TOTP μπορούν να διαρκέσουν 120 ή 240 δευτερόλεπτα.
Ο κωδικός πρόσβασης δημιουργείται στο άκρο σας αντί του διακομιστή χρησιμοποιώντας την εφαρμογή ελέγχου ταυτότητας. Για αυτόν τον λόγο, έχετε πάντα πρόσβαση στο TOTP σας, έτσι ώστε ο διακομιστής να μην χρειάζεται να στέλνει SMS κάθε φορά που συνδέεστε.
Υπάρχουν άλλες μέθοδοι μέσω των οποίων μπορείτε να λάβετε το TOTP σας:
- Μαρκάρια ασφαλείας υλικού.
- Μηνύματα email από τον διακομιστή.
- Φωνητικά μηνύματα από τον διακομιστή.
Επειδή το TOTP βασίζεται στον χρόνο και λήγει μέσα σε δευτερόλεπτα, οι χάκερ δεν έχουν αρκετό χρόνο για να προβλέψουν τους κωδικούς πρόσβασής σας. Με αυτόν τον τρόπο, παρέχουν πρόσθετη ασφάλεια στο ασθενέστερο σύστημα ελέγχου ταυτότητας ονόματος χρήστη και κωδικού πρόσβασης.
Για παράδειγμα, θέλετε να συνδεθείτε στο σταθμό εργασίας σας που χρησιμοποιεί TOTP. Εισαγάγετε πρώτα το όνομα χρήστη και τον κωδικό πρόσβασής σας για το λογαριασμό και το σύστημα σας ζητά ένα TOTP. Στη συνέχεια, μπορείτε να το διαβάσετε από το διακριτικό υλικού ή την εικόνα QR και να το πληκτρολογήσετε στο πεδίο σύνδεσης TOTP. Αφού το σύστημα ελέγξει την ταυτότητα του κωδικού πρόσβασης, σας συνδέει στο λογαριασμό σας.
Ο αλγόριθμος TOTP που δημιουργεί τον κωδικό πρόσβασης απαιτεί την εισαγωγή χρόνου της συσκευής σας και το μυστικό σπόρο ή κλειδί σας. Δεν χρειάζεστε σύνδεση στο διαδίκτυο για να δημιουργήσετε και να επαληθεύσετε το TOTP, γι' αυτό οι εφαρμογές ελέγχου ταυτότητας μπορούν να λειτουργούν εκτός σύνδεσης. Το TOTP είναι απαραίτητο για χρήστες που θέλουν να χρησιμοποιήσουν τους λογαριασμούς τους και χρειάζονται έλεγχο ταυτότητας κατά τη διάρκεια ταξιδιού σε αεροπλάνα ή σε απομακρυσμένες περιοχές όπου η σύνδεση δικτύου δεν είναι διαθέσιμη.
Πώς γίνεται ο έλεγχος ταυτότητας TOTP;
Η ακόλουθη διαδικασία παρέχει έναν απλό και σύντομο οδηγό για το πώς λειτουργεί η διαδικασία ελέγχου ταυτότητας TOTP.
Όταν ένας χρήστης θέλει πρόσβαση σε μια εφαρμογή όπως μια εφαρμογή δικτύου cloud, του ζητείται να εισαγάγει το TOTP αφού εισαγάγει το όνομα χρήστη και τον κωδικό πρόσβασής του. Ζητούν να ενεργοποιηθεί το 2FA και το διακριτικό TOTP χρησιμοποιεί τον αλγόριθμο TOTP για να δημιουργήσει το OTP.
Ο χρήστης εισάγει το διακριτικό στη σελίδα αιτήματος και το σύστημα ασφαλείας διαμορφώνει το TOTP του χρησιμοποιώντας τον ίδιο συνδυασμό της τρέχουσας ώρας και του κοινόχρηστου μυστικού ή κλειδιού. Το σύστημα συγκρίνει τους δύο κωδικούς πρόσβασης. Εάν ταιριάζουν, ο χρήστης ελέγχεται και του παρέχεται πρόσβαση. Είναι σημαντικό να σημειωθεί ότι τα περισσότερα TOTP θα ελέγχουν την ταυτότητα με κωδικούς QR και εικόνες.
TOTP vs. Κωδικός μίας χρήσης που βασίζεται σε HMAC
Ο One-time Password που βασίζεται σε HMAC παρείχε το πλαίσιο πάνω στο οποίο δημιουργήθηκε το TOTP. Τόσο το TOTP όσο και το HOTP μοιράζονται ομοιότητες, καθώς και τα δύο συστήματα χρησιμοποιούν ένα μυστικό κλειδί ως μία από τις εισόδους για τη δημιουργία του κωδικού πρόσβασης. Ωστόσο, ενώ το TOTP χρησιμοποιεί την τρέχουσα ώρα ως άλλη είσοδο, το HOTP χρησιμοποιεί έναν μετρητή.
Επιπλέον, όσον αφορά την ασφάλεια, το TOTP είναι πιο ασφαλές από το HOTP επειδή οι κωδικοί πρόσβασης που δημιουργούνται λήγουν μετά από 30 έως 60 δευτερόλεπτα, μετά από τα οποία δημιουργείται ένας νέος. Στο HOTP, ο κωδικός πρόσβασης παραμένει έγκυρος μέχρι να τον χρησιμοποιήσετε. Για το λόγο αυτό, πολλοί χάκερ μπορούν να έχουν πρόσβαση σε HOTP και να τα χρησιμοποιήσουν για να πραγματοποιήσουν επιτυχημένες κυβερνοεπιθέσεις. Παρόλο που το HOTP εξακολουθεί να χρησιμοποιείται από ορισμένες υπηρεσίες ελέγχου ταυτότητας, οι περισσότερες δημοφιλείς εφαρμογές ελέγχου ταυτότητας απαιτούν TOTP.
Ποια είναι τα οφέλη από τη χρήση ενός TOTP;
Τα TOTP είναι ωφέλιμα επειδή σας παρέχουν ένα επιπλέον επίπεδο ασφάλειας. Το σύστημα ονόματος χρήστη-κωδικού πρόσβασης από μόνο του είναι αδύναμο και συνήθως υπόκειται Επιθέσεις Man-in-the-Middle. Ωστόσο, με τα συστήματα 2FA/MFA που βασίζονται σε TOTP, οι χάκερ δεν έχουν αρκετό χρόνο για να αποκτήσουν πρόσβαση στο TOTP σας ακόμα κι αν έχουν κλέψει τον παραδοσιακό σας κωδικό πρόσβασης, επομένως δεν έχουν πολλές ευκαιρίες να σας χακάρουν λογαριασμούς.
Ο έλεγχος ταυτότητας TOTP παρέχει πρόσθετη ασφάλεια
Οι εγκληματίες του κυβερνοχώρου μπορούν εύκολα να έχουν πρόσβαση στο όνομα χρήστη και τον κωδικό πρόσβασής σας και να παραβιάσουν τον λογαριασμό σας. Ωστόσο, με τα συστήματα 2FA/MFA που βασίζονται σε TOTP, μπορείτε να έχετε έναν πιο ασφαλή λογαριασμό, επειδή τα TOTP είναι χρονικά δεσμευμένα και λήγουν μέσα σε δευτερόλεπτα. Η εφαρμογή του TOTP σαφώς αξίζει τον κόπο.