Tidsbaserede engangsadgangskoder (TOTP'er) er standard engangskodeordscomputeralgoritmen. De udvider på den hash-baserede meddelelsesgodkendelseskode (HMAC) engangsadgangskode (HMAC-baseret engangsadgangskode eller HOTP for kort).
TOTP'er kan bruges i stedet for eller som en ekstra faktor ved siden af traditionelle, længerevarende tofaktorer autentificeringsløsninger, såsom SMS-beskeder eller fysiske hardwaretokens, der kan blive stjålet eller glemt let. Så hvad er egentlig tidsbaserede engangsadgangskoder? Hvordan fungerer de?
Hvad er en TOTP?
TOTP er en midlertidig engangskode, der genereres i overensstemmelse med det aktuelle tidspunkt af en algoritme til brugergodkendelse. Det er et ekstra lag af sikkerhed for dine konti, som er baseret på to-faktor autentificering (2FA) eller multi-faktor autentificering (MFA). Det betyder, at efter du har indtastet dit brugernavn og din adgangskode, skal du indtaste en bestemt kode, der er tidsbaseret og kortvarig.
TOTP er så navngivet, fordi den bruger en standardalgoritme til at udarbejde en unik og numerisk engangskode ved hjælp af Greenwich Mean Time (GMT). Det vil sige, at adgangskoden genereres fra det aktuelle tidspunkt i denne periode. Koderne genereres også ud fra en delt hemmelighed eller en hemmelig seed-adgangskode, der gives ved brugerregistrering hos autentificeringsserveren, enten gennem QR-koder eller almindelig tekst.
Denne adgangskode vises til brugeren, som forventes at bruge den i et bestemt tidsrum, hvorefter den udløber. Brugere indtaster engangsadgangskoden, deres brugernavn og almindelige adgangskode i en loginformular inden for en begrænset tid. Efter udløb er koden ikke længere gyldig og kan ikke bruges på en login-formular.
TOTP'er inkluderer en række dynamiske numeriske koder, normalt mellem fire og seks cifre, som ændres hvert 30. til 60. sekund. Internet Engineering Task Force (IETF) udgav TOTP, beskrevet i RFC 6238, og bruger en standardalgoritme til at få et engangskodeord.
Medlemmer af Initiativ for åben godkendelse (OATH) er hjernen bag TOTPs opfindelse. Det blev udelukkende solgt under patent, og forskellige autentificeringsleverandører har siden markedsført det efter standardisering. Det er i øjeblikket meget brugt af cloud-applikation udbydere. De er brugervenlige og tilgængelige til offlinebrug, hvilket gør dem ideelle til brug på fly, eller når du ikke har netværksdækning.
Hvordan virker en TOTP?
TOTP'er, som den anden godkendelsesfaktor på dine apps, giver dine konti et ekstra lag af sikkerhed, fordi du skal angive de numeriske engangskoder, før du er logget ind. De kaldes populært for "software-tokens", "bløde tokens" og "app-baseret godkendelse" og finder anvendelse i godkendelsesapps synes godt om Google Authenticator og Authy.
Måden det fungerer på er, at efter at du har indtastet dit kontobrugernavn og din adgangskode, bliver du bedt om at tilføje en gyldig TOTP-kode til en anden login-grænseflade som bevis på, at du ejer kontoen.
I nogle modeller kommer TOTP til dig på din smartphone via en SMS-besked. Du kan også få koderne fra en autentificeringssmartphone-applikation ved at scanne et QR-billede. Denne metode er den mest udbredte, og koderne udløber normalt efter omkring 30 eller 60 sekunder. Nogle TOTP'er kan dog vare 120 eller 240 sekunder.
Adgangskoden oprettes på din ende i stedet for serverens ved hjælp af autentificeringsapplikationen. Af denne grund har du altid adgang til din TOTP, så serveren ikke behøver at sende en SMS, hver gang du logger ind.
Der er andre metoder, hvorigennem du kan få din TOTP:
- Hardwaresikkerhedstokens.
- E-mail-beskeder fra serveren.
- Talebeskeder fra serveren.
Fordi TOTP er tidsbaseret og udløber inden for få sekunder, har hackere ikke tid nok til at forudse dine adgangskoder. På den måde giver de yderligere sikkerhed til det svagere brugernavn og adgangskodegodkendelsessystem.
For eksempel vil du logge ind på din arbejdsstation, der bruger TOTP. Du indtaster først dit brugernavn og din adgangskode til kontoen, og systemet beder dig om en TOTP. Du kan derefter læse det fra dit hardwaretoken eller QR-billedet og skrive det i TOTP-loginfeltet. Når systemet har godkendt adgangskoden, logger det dig ind på din konto.
TOTP-algoritmen, der genererer adgangskoden, kræver din enheds tidsinput og dit hemmelige frø eller nøgle. Du behøver ikke internetforbindelse for at generere og verificere TOTP, hvilket er grunden til, at godkendelsesapps kan fungere offline. TOTP er nødvendigt for brugere, der ønsker at bruge deres konti og har brug for godkendelse under rejser med fly eller i fjerntliggende områder, hvor netværksforbindelse ikke er tilgængelig.
Hvordan godkendes TOTP?
Den følgende proces giver en enkel og kort guide til, hvordan TOTP-godkendelsesprocessen fungerer.
Når en bruger ønsker adgang til en applikation som en cloud-netværksapplikation, bliver de bedt om at indtaste TOTP'en efter at have indtastet deres brugernavn og adgangskode. De anmoder om, at 2FA aktiveres, og TOTP-tokenet bruger TOTP-algoritmen til at generere OTP'en.
Brugeren indtaster tokenet på anmodningssiden, og sikkerhedssystemet konfigurerer sin TOTP ved hjælp af den samme kombination af det aktuelle tidspunkt og den delte hemmelighed eller nøgle. Systemet sammenligner de to adgangskoder; hvis de matcher, bliver brugeren godkendt og givet adgang. Det er vigtigt at bemærke, at de fleste TOTP vil autentificere med QR-koder og billeder.
TOTP vs. HMAC-baseret engangsadgangskode
Det HMAC-baserede engangskodeord gav den ramme, som TOTP blev bygget på. Både TOTP og HOTP deler ligheder, da begge systemer bruger en hemmelig nøgle som en af indgangene til at generere adgangskoden. Men mens TOTP bruger den aktuelle tid som den anden indgang, bruger HOTP en tæller.
Ydermere er TOTP sikkerhedsmæssigt mere sikker end HOTP, fordi de genererede adgangskoder udløber efter 30 til 60 sekunder, hvorefter en ny genereres. I HOTP forbliver adgangskoden gyldig, indtil du bruger den. Af denne grund kan mange hackere få adgang til HOTP'er og bruge dem til at udføre vellykkede cyberangreb. Selvom HOTP stadig bruges af nogle godkendelsestjenester, kræver de fleste populære godkendelsesapps TOTP.
Hvad er fordelene ved at bruge en TOTP?
TOTP'er er fordelagtige, fordi de giver dig et ekstra lag af sikkerhed. Alene brugernavn-adgangskodesystemet er svagt og ofte udsat for Man-in-the-Middle angreb. Men med de TOTP-baserede 2FA/MFA-systemer har hackerne ikke tid nok til at få adgang til din TOTP selvom de har stjålet din traditionelle adgangskode, så de har ringe mulighed for at hacke din regnskaber.
TOTP-godkendelse giver yderligere sikkerhed
Cyberkriminelle kan nemt få adgang til dit brugernavn og adgangskode og hacke din konto. Med de TOTP-baserede 2FA/MFA-systemer kan du dog have en mere sikker konto, fordi TOTP'er er tidsbundne og udløber inden for få sekunder. Implementering af TOTP er klart det værd.