As senhas únicas baseadas em tempo (TOTPs) são o algoritmo de computador de senha única padrão. Eles expandem a senha única de código de autenticação de mensagem baseada em hash (HMAC) (senha única baseada em HMAC ou HOTP, para abreviar).
Os TOTPs podem ser usados no lugar de, ou como um fator adicional ao lado dos tradicionais dois fatores de vida mais longa. soluções de autenticação, como mensagens SMS ou tokens físicos de hardware que podem ser roubados ou esquecidos facilmente. Então, o que exatamente são senhas únicas baseadas em tempo? Como eles funcionam?
O que é um TOTP?
TOTP é uma senha temporária de uso único gerada de acordo com a hora atual por um algoritmo para autenticação do usuário. É uma camada adicional de segurança para suas contas baseada em autenticação de dois fatores (2FA) ou autenticação multifator (MFA). Isso significa que, depois de inserir seu nome de usuário e senha, você deverá inserir um código específico baseado em tempo e de curta duração.
TOTP é assim chamado porque usa um algoritmo padrão para elaborar uma senha única e numérica usando o horário de Greenwich (GMT). Ou seja, a senha é gerada a partir da hora atual durante esse período. Os códigos também são gerados a partir de um segredo compartilhado ou de uma senha de semente secreta fornecida no registro do usuário no servidor de autenticação, por meio de códigos QR ou texto simples.
Essa senha é mostrada ao usuário, que deve usá-la por um tempo especificado, após o qual ela expira. Os usuários inserem a senha única, seu nome de usuário e senha regular em um formulário de login dentro de um tempo limitado. Após a expiração, o código não é mais válido e não pode ser usado em um formulário de login.
Os TOTPs incluem uma sequência de códigos numéricos dinâmicos, geralmente entre quatro e seis dígitos, que mudam a cada 30 a 60 segundos. A Internet Engineering Task Force (IETF) publicou o TOTP, descrito em RFC 6238, e usa um algoritmo padrão para obter uma senha única.
Membros de Iniciativa para autenticação aberta (OATH) são os cérebros por trás da invenção do TOTP. Foi vendido exclusivamente sob patente e, desde então, diferentes fornecedores de autenticação o comercializaram seguindo a padronização. Atualmente é amplamente utilizado por aplicativo em nuvem fornecedores. Eles são fáceis de usar e estão disponíveis para uso off-line, o que os torna ideais para uso em aviões ou quando você não tem cobertura de rede.
Como funciona um TOTP?
Os TOTPs, como o segundo fator de autorização em seus aplicativos, fornecem às suas contas uma camada extra de segurança porque você precisa fornecer as senhas numéricas únicas antes de fazer login. Eles são popularmente chamados de “tokens de software”, “soft tokens” e “autenticação baseada em aplicativo” e encontram uso em aplicativos de autenticação como Google Authenticator e Authy.
A maneira como funciona é que, depois de inserir o nome de usuário e a senha da conta, você é solicitado a adicionar um código TOTP válido em outra interface de login como prova de que é o proprietário da conta.
Em alguns modelos, o TOTP chega até você em seu smartphone por meio de uma mensagem de texto SMS. Você também pode obter os códigos de um aplicativo de smartphone autenticador digitalizando uma imagem QR. Este método é o mais utilizado e os códigos geralmente expiram após cerca de 30 ou 60 segundos. No entanto, alguns TOTPs podem durar 120 ou 240 segundos.
A senha é criada do seu lado, e não do servidor, usando o aplicativo autenticador. Por este motivo, tem sempre acesso ao seu TOTP para que o servidor não necessite de enviar SMS sempre que iniciar sessão.
Existem outros métodos pelos quais você pode obter seu TOTP:
- Tokens de segurança de hardware.
- Mensagens de e-mail do servidor.
- Mensagens de voz do servidor.
Como o TOTP é baseado no tempo e expira em segundos, os hackers não têm tempo suficiente para antecipar suas senhas. Dessa forma, eles fornecem segurança adicional ao sistema de autenticação de nome de usuário e senha mais fraco.
Por exemplo, você deseja fazer login em sua estação de trabalho que usa TOTP. Você primeiro insere seu nome de usuário e senha para a conta e o sistema solicita um TOTP. Você pode então lê-lo em seu token de hardware ou na imagem QR e digitá-lo no campo de login TOTP. Depois que o sistema autentica a senha, ele faz o login em sua conta.
O algoritmo TOTP que gera a senha requer a entrada de tempo do seu dispositivo e sua semente ou chave secreta. Você não precisa de conectividade com a Internet para gerar e verificar o TOTP, e é por isso que os aplicativos de autenticação podem funcionar offline. O TOTP é necessário para usuários que desejam usar suas contas e precisam de autenticação durante viagens de avião ou em áreas remotas onde a conectividade de rede não está disponível.
Como o TOTP é autenticado?
O processo a seguir fornece um guia simples e breve sobre como funciona o processo de autenticação TOTP.
Quando um usuário deseja acessar um aplicativo como um aplicativo de rede em nuvem, ele é solicitado a inserir o TOTP após inserir seu nome de usuário e senha. Eles solicitam que o 2FA seja ativado e o token TOTP usa o algoritmo TOTP para gerar o OTP.
O usuário insere o token na página de solicitação e o sistema de segurança configura seu TOTP usando a mesma combinação da hora atual e o segredo ou chave compartilhada. O sistema compara as duas senhas; se forem correspondentes, o usuário é autenticado e recebe acesso. É importante observar que a maioria dos TOTP será autenticada com códigos QR e imagens.
TOTP vs. Senha única baseada em HMAC
A senha única baseada em HMAC forneceu a estrutura na qual o TOTP foi construído. Tanto o TOTP quanto o HOTP compartilham semelhanças, pois ambos os sistemas usam uma chave secreta como uma das entradas para gerar a senha. No entanto, enquanto o TOTP usa a hora atual como outra entrada, o HOTP usa um contador.
Além disso, em termos de segurança, TOTP é mais seguro que HOTP porque as senhas geradas expiram após 30 a 60 segundos, após o que uma nova é gerada. No HOTP, a senha permanece válida até que você a use. Por esse motivo, muitos hackers podem acessar HOTPs e usá-los para realizar ataques cibernéticos bem-sucedidos. Embora o HOTP ainda seja usado por alguns serviços de autenticação, os aplicativos autenticadores mais populares exigem o TOTP.
Quais são os benefícios de usar um TOTP?
Os TOTPs são benéficos porque fornecem uma camada adicional de segurança. O sistema de nome de usuário e senha sozinho é fraco e comumente sujeito a Ataques man-in-the-middle. No entanto, com os sistemas 2FA/MFA baseados em TOTP, os hackers não têm tempo suficiente para acessar seu TOTP mesmo que tenham roubado sua senha tradicional, então eles têm poucas oportunidades de hackear sua contas.
Autenticação TOTP Fornece Segurança Adicional
Os cibercriminosos podem acessar facilmente seu nome de usuário e senha e invadir sua conta. No entanto, com os sistemas 2FA/MFA baseados em TOTP, você pode ter uma conta mais segura porque os TOTPs têm limite de tempo e expiram em segundos. A implementação do TOTP claramente vale a pena.