קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

סיסמאות חד פעמיות מבוססות זמן (TOTPs) הן אלגוריתם המחשב הרגיל של סיסמאות חד פעמיות. הם מרחיבים את הסיסמה החד-פעמית המבוססת על קוד אימות הודעות (HMAC) (בסיסה חד פעמית מבוססת HMAC, או בקיצור HOTP).

ניתן להשתמש ב-TOTPs במקום, או כגורם נוסף לצד, דו-גורמי מסורתי עם אורך חיים ארוך יותר פתרונות אימות, כגון הודעות SMS או אסימוני חומרה פיזיים שניתן לגנוב או לשכוח בְּקַלוּת. אז מהן בעצם סיסמאות חד פעמיות מבוססות זמן? איך הם עובדים?

מהו TOTP?

TOTP הוא קוד גישה זמני לשימוש חד פעמי שנוצר בהתאם לזמן הנוכחי על ידי אלגוריתם לאימות משתמש. זוהי שכבת אבטחה נוספת עבור החשבונות שלך שמבוססת עליה אימות דו-גורמי (2FA) או אימות רב-גורמי (MFA). המשמעות היא שאחרי שהכנסתם את שם המשתמש והסיסמה שלכם, אתם נדרשים להזין קוד מסוים המבוסס על זמן וקצר מועד.

TOTP נקרא כך מכיוון שהוא משתמש באלגוריתם סטנדרטי כדי לגבש קוד סיסמה חד פעמי ייחודי ומספרי באמצעות Greenwich Mean Time (GMT). כלומר, קוד הגישה נוצר מהשעה הנוכחית במהלך אותה תקופה. הקודים נוצרים גם מסוד משותף או קוד סיסמה סודי שסופק בעת רישום המשתמש בשרת האימות, באמצעות קודי QR או טקסט רגיל.

instagram viewer

קוד סיסמה זה מוצג למשתמש, אשר צפוי להשתמש בו למשך זמן מוגדר, ולאחר מכן הוא יפוג. משתמשים מכניסים את קוד הגישה החד-פעמי, את שם המשתמש והסיסמה הרגילה שלהם לטופס התחברות תוך זמן מוגבל. לאחר התפוגה, הקוד אינו תקף יותר ולא ניתן להשתמש בו בטופס התחברות.

TOTPs כוללים מחרוזת של קודים מספריים דינמיים, בדרך כלל בין ארבע לשש ספרות, המשתנות כל 30 עד 60 שניות. כוח המשימה להנדסת האינטרנט (IETF) פרסם את TOTP, המתואר ב RFC 6238, ומשתמש באלגוריתם סטנדרטי כדי לקבל סיסמה חד פעמית.

חברי ה יוזמה לאימות פתוחה (OATH) הם המוח מאחורי ההמצאה של TOTP. הוא נמכר אך ורק תחת פטנט, וספקי אימות שונים משווקים אותו מאז בעקבות סטנדרטיזציה. כיום הוא נמצא בשימוש נרחב על ידי אפליקציית ענן ספקים. הם ידידותיים למשתמש וזמינים לשימוש לא מקוון, מה שהופך אותם לאידיאליים לשימוש במטוסים או כאשר אין לך כיסוי רשת.

איך עובד TOTP?

TOTPs, כגורם ההרשאה השני באפליקציות שלך, מספקים לחשבונות שלך שכבת אבטחה נוספת מכיוון שאתה צריך לספק את קודי הסיסמה המספריים החד-פעמיים לפני שאתה מחובר. הם נקראים בדרך כלל "אסימוני תוכנה", "אסימונים רכים" ו"אימות מבוסס אפליקציה" ומוצאים שימוש באפליקציות אימות כמו Google Authenticator ו אוטי.

הדרך שבה זה עובד היא שאחרי שהזנת את שם המשתמש והסיסמה של החשבון שלך, תתבקש להוסיף קוד TOTP חוקי לממשק התחברות אחר כהוכחה שבבעלותך החשבון.

בדגמים מסוימים, ה-TOTP מגיע אליך בסמארטפון שלך באמצעות הודעת טקסט. אתה יכול גם לקבל את הקודים מאפליקציית סמארטפון מאמת על ידי סריקת תמונת QR. שיטה זו היא הנפוצה ביותר, ובדרך כלל תוקף הקודים פג לאחר כ-30 או 60 שניות. עם זאת, חלק מה-TOTPs יכולים להימשך 120 או 240 שניות.

קוד הגישה נוצר בצד שלך במקום של השרת באמצעות אפליקציית המאמת. מסיבה זו, תמיד יש לך גישה ל-TOTP שלך כך שהשרת לא צריך לשלוח SMS בכל פעם שאתה מתחבר.

ישנן שיטות אחרות שבאמצעותן תוכל לקבל את ה-TOTP שלך:

  • אסימוני אבטחה של חומרה.
  • הודעות דואר אלקטרוני מהשרת.
  • הודעות קוליות מהשרת.

מכיוון שה-TOTP מבוסס על זמן ויפוג תוך שניות, להאקרים אין מספיק זמן לצפות את קודי הסיסמה שלך. בדרך זו, הם מספקים אבטחה נוספת למערכת אימות שם המשתמש והסיסמה החלשה יותר.

לדוגמה, אתה רוצה להיכנס לתחנת העבודה שלך המשתמשת ב-TOTP. תחילה תזין את שם המשתמש והסיסמה שלך עבור החשבון, והמערכת מבקשת ממך להזין TOTP. לאחר מכן תוכל לקרוא אותו מאסימון החומרה שלך או מתמונת ה-QR ולהקליד אותו בשדה ההתחברות של TOTP. לאחר שהמערכת מאמתת את קוד הגישה, היא מתחברת אותך לחשבון שלך.

אלגוריתם ה-TOTP שיוצר את קוד הסיסמה דורש הזנת זמן של המכשיר שלך ואת הזרע או המפתח הסודי שלך. אינך צריך קישוריות לאינטרנט כדי ליצור ולאמת את ה-TOTP, וזו הסיבה שאפליקציות אימות יכולות לעבוד במצב לא מקוון. TOTP נחוץ למשתמשים שרוצים להשתמש בחשבונות שלהם וזקוקים לאימות במהלך נסיעה במטוסים או באזורים מרוחקים שבהם קישוריות רשת אינה זמינה.

כיצד מאומת TOTP?

התהליך הבא מספק מדריך פשוט וקצר כיצד פועל תהליך אימות TOTP.

כאשר משתמש רוצה גישה לאפליקציה כמו אפליקציה ברשת ענן, הוא מתבקש להזין את ה-TOTP לאחר הזנת שם המשתמש והסיסמה שלו. הם מבקשים ש-2FA יופעל, ואסימון ה-TOTP משתמש באלגוריתם ה-TOTP כדי ליצור את ה-OTP.

המשתמש מזין את האסימון בדף הבקשה, ומערכת האבטחה מגדירה את ה-TOTP שלו באמצעות אותו שילוב של השעה הנוכחית והסוד או המפתח המשותף. המערכת משווה את שני קודי הסיסמה; אם הם תואמים, המשתמש מאומת ומקבל גישה. חשוב לציין שרוב ה-TOTP יבצע אימות באמצעות קודי QR ותמונות.

TOTP לעומת סיסמה חד פעמית מבוססת HMAC

קרדיט תמונה: כריסטיאן קולן / Visualhunt.com

הסיסמה החד פעמית מבוססת HMAC סיפקה את המסגרת שעליה נבנה TOTP. גם TOTP וגם HOTP חולקים קווי דמיון, שכן שתי המערכות משתמשות במפתח סודי כאחת מהכניסות להפקת קוד הגישה. עם זאת, בעוד ש-TOTP משתמש בזמן הנוכחי כקלט אחר, HOTP משתמש במונה.

יתר על כן, מבחינת אבטחה, TOTP מאובטח יותר מ-HOTP מכיוון שהסיסמאות שנוצרות פג לאחר 30 עד 60 שניות, ולאחר מכן נוצרת אחת חדשה. ב-HOTP, קוד הגישה נשאר בתוקף עד שתשתמש בו. מסיבה זו, האקרים רבים יכולים לגשת ל-HOTP ולהשתמש בהם כדי לבצע התקפות סייבר מוצלחות. למרות ש-HOTP עדיין נמצא בשימוש על ידי חלק משירותי האימות, רוב אפליקציות המאמת הפופולריות דורשות TOTP.

מהם היתרונות של שימוש ב-TOTP?

TOTPs מועילים מכיוון שהם מספקים לך שכבת אבטחה נוספת. מערכת שם משתמש-סיסמא לבדה חלשה ובדרך כלל נתונה לה התקפות אדם-באמצע. עם זאת, עם מערכות 2FA/MFA מבוססות TOTP, להאקרים אין מספיק זמן לגשת ל-TOTP שלך גם אם הם גנבו את הסיסמה המסורתית שלך, אז אין להם הרבה הזדמנות לפרוץ שלך חשבונות.

אימות TOTP מספק אבטחה נוספת

פושעי סייבר יכולים לגשת בקלות לשם המשתמש והסיסמה שלך ולפרוץ לחשבון שלך. עם זאת, עם מערכות 2FA/MFA מבוססות TOTP, אתה יכול לקבל חשבון מאובטח יותר מכיוון ש-TOTP מוגבל בזמן ותוקפם יפוג תוך שניות. יישום TOTP בהחלט שווה את זה.