Одноразовый пароль с ограниченным сроком действия

Алгоритм аутентификации пароля

Aegis Authenticator, показывающий одноразовые пароли с ограниченным сроком действия

Одноразовый пароль на основе времени ( TOTP ) — это компьютерный алгоритм , который генерирует одноразовый пароль (OTP), используя текущее время в качестве источника уникальности. Как расширение алгоритма одноразового пароля на основе HMAC (HOTP), он был принят в качестве стандарта Internet Engineering Task Force (IETF) RFC  6238. ^[1]

TOTP является краеугольным камнем Инициативы по открытой аутентификации (OATH) и используется в ряде систем двухфакторной аутентификации ^[1] (2FA).

История

Благодаря сотрудничеству нескольких членов OATH был разработан проект TOTP с целью создания поддерживаемого отраслью стандарта. Он дополняет одноразовый стандарт HOTP на основе событий и предлагает организациям и предприятиям конечных пользователей больше возможностей выбора технологий, которые наилучшим образом соответствуют их требованиям к приложениям и рекомендациям по безопасности . В 2008 году OATH представила проект спецификации в IETF. Эта версия включает в себя все отзывы и комментарии, которые авторы получили от технического сообщества на основе предыдущих версий, представленных в IETF. ^[2] В мае 2011 года TOTP официально стал RFC 6238. ^[1]

Алгоритм

Для установления аутентификации TOTP аутентифицируемый и аутентифицирующий должны предварительно установить как параметры HOTP , так и следующие параметры TOTP:

• T ₀ — время Unix , с которого начинается отсчет временных шагов (по умолчанию 0),
• T _X — интервал, который будет использоваться для расчета значения счетчика C _T (по умолчанию 30 секунд).

И аутентификатор, и аутентифицируемый вычисляют значение TOTP, затем аутентификатор проверяет, соответствует ли значение TOTP, предоставленное аутентифицируемым, локально сгенерированному значению TOTP. Некоторые аутентификаторы допускают значения, которые должны были быть сгенерированы до или после текущего времени, чтобы учесть небольшие перекосы часов , сетевую задержку и задержки пользователя.

TOTP использует алгоритм HOTP, заменяя счетчик неубывающим значением на основе текущего времени:

      Значение TOTP( K ) = значение HOTP ( K , C _T ),

расчет значения счетчика

$${\displaystyle C_{T}=\left\lfloor {\frac {T-T_{0}}{T_{X}}}\right\rfloor ,}$$

где

• C _T — это количество длительностей T _X между T ₀ и T ,
• T — текущее время в секундах с определенной эпохи ,
• T ₀ — это эпоха, указанная в секундах с начала эпохи Unix (например, если используется время Unix , то T ₀ равно 0),
• T _X — длительность одного временного интервала (например, 30 секунд).

Безопасность

В отличие от паролей , коды TOTP действительны только в течение ограниченного времени. Однако пользователи должны вводить коды TOTP на странице аутентификации, что создает потенциал для фишинговых атак . Из-за короткого окна, в течение которого коды TOTP действительны, злоумышленники должны проксировать учетные данные в режиме реального времени. ^[3]

Учетные данные TOTP также основаны на общем секрете, известном как клиенту, так и серверу, что создает несколько мест, из которых секрет может быть украден. ^[4] Злоумышленник, имеющий доступ к этому общему секрету, может генерировать новые, действительные коды TOTP по своему усмотрению. Это может стать особой проблемой, если злоумышленник взломает большую базу данных аутентификации. ^[5]

Смотрите также

• Botan (библиотека программирования)
• FreeOTP
• Google Аутентификатор
• мультиOTP
• Сравнение приложений TOTP

Ссылки

1. m'Raihi, David; Rydell, Johan; Pei, Mingliang; Machani, Salah (май 2011 г.). "RFC 6238 – TOTP: Time-Based One-Time Password Algorithm". Архивировано из оригинала 11 июля 2011 г. Получено 13 июля 2011 г.
2. Александр, Мэдисон. "OATH Submits TOTP: Time-Based One Time Password Specification to IETF". Открытая аутентификация . Архивировано из оригинала 9 апреля 2013 года . Получено 22 февраля 2010 года .
3. Umawing, Jovi (21 января 2019 г.). «Двухфакторная аутентификация побеждена? В центре внимания — последний вызов 2FA». Malwarebytes Labs . Архивировано из оригинала 25 сентября 2020 г. Получено 9 августа 2020 г.
4. «Одноразовые пароли на основе времени (TOTP)». www.transmitsecurity.com . 25 июня 2020 г. . Получено 2 мая 2022 г. .
5. Зеттер, Ким. «RSA соглашается заменить токены безопасности после признания компрометации». WIRED . Архивировано из оригинала 12 ноября 2020 г. Получено 17 февраля 2017 г.