Основанный на времени одноразовый пароль

Основанный на времени одноразовый пароль ( TOTP )-это компьютерный алгоритм , который генерирует одноразовый пароль (OTP), используя текущее время в качестве источника уникальности. В качестве расширения одноразового алгоритма паролей на основе HMAC (HOTP) он был принят в качестве стандарта интернет-инженерии (IETF) RFC 6238 . ^{[ 1 ]}

TOTP является краеугольным камнем инициативы по открытой аутентификации (клятву) и используется в ряде двухфакторной аутентификации ^{[ 1 ]} (2FA) Системы.

История

Благодаря сотрудничеству нескольких членов клятвы был разработан проект TOTP для создания стандарта, поддерживаемого в отрасли. Он дополняет единовременную hotpp на основе событий, и предлагает организациям конечным пользователям и предприятиям больше выбора при выборе технологий, которые наилучшим образом соответствуют требованиям применения и руководящих принципам безопасности . В 2008 году присяга представила проектную версию спецификации в IETF. Эта версия включает в себя все отзывы и комментарии, которые авторы получили от технического сообщества на основе предыдущих версий, представленных в IETF. ^{[ 2 ]} В мае 2011 года TOTP официально стал RFC 6238. ^{[ 1 ]}

Алгоритм

Чтобы установить аутентификацию TOTP, аутентикат и аутентификатор должны предварительно устанавливать как параметры HOTP , так и следующие параметры TOTP:

T ₀ , время Unix , с которого можно начать считать временные шаги (по умолчанию 0),
T _x , интервал, который будет использоваться для расчета значения счетчика C _T (по умолчанию 30 секунд).

Как аутентификатор, так и аутентикат вычисляют значение TOTP, тогда аутентификатор проверяет, соответствует ли значение TOTP, предоставленное AuthenticateE, локально генерируемого значения TOTP. Некоторые аутентификаторы допускают значения, которые должны были быть сгенерированы до или после текущего времени, чтобы учесть небольшие перекосы с часами , задержку сети и задержки с пользователями.

TOTP использует алгоритм HOTP, заменив счетчик на нецелевое значение на основе текущего времени:

Значение TOTP ( k ) = hotp значение ( K , C _T ),

Расчет значения счетчика

$C_{T}=\left\lfloor {\frac {T-T_{0}}{T_{X}}}\right\rfloor ,$

где

C _T является подсчетом количества продолжительности T _x между T ₀ и T ,
T - текущее время в секунд с момента определенной эпохи ,
T ₀ - это эпоха, как указано в секундах, после эпохи UNIX (например, если использует время Unix , то T ₀ - 0),
T _x - продолжительность одного времени (например, 30 секунд).

Безопасность

В отличие от паролей , коды TOTP действительны только в течение ограниченного времени. Тем не менее, пользователи должны вводить коды TOTP в страницу аутентификации, которая создает потенциал для фишинговых атак . Из -за короткого окна, в котором коды TOTP действительны, злоумышленники должны доверьте учетные данные в режиме реального времени. ^{[ 3 ]}

Учетные данные TOTP также основаны на общей секрете, известной как клиенту, так и на сервере, создавая несколько мест, из которых можно украсть секрет. ^{[ 4 ]} Злоумышленник с доступом к этому общему секрету может генерировать новые, действительные коды TOTP по желанию. Это может быть особой проблемой, если злоумышленник нарушает большую базу данных аутентификации. ^{[ 5 ]}

Смотрите также

Ссылки

^ Jump up to: ^а ^{беременный} ^в М'раихи, Давид; Риделл, Йохан; Пей, Минглиан; Мачани, Салах (май 2011 г.). «RFC 6238-TOTP: одноразовый алгоритм пароля на основе времени» . Архивировано из оригинала 11 июля 2011 года . Получено 13 июля 2011 года .
^ Александр, Мэдисон. «Клятва подчиняется TOTP: однократная спецификация пароля на основе времени в IETF» . Открытая аутентификация . Архивировано с оригинала 9 апреля 2013 года . Получено 22 февраля 2010 года .
^ Umawing, Jovi (21 января 2019 г.). «Была ли потерпела поражение двухфакторной аутентификации? В центре внимания последнего вызова 2FA» . MalwareBytes Labs . Архивировано из оригинала 25 сентября 2020 года . Получено 9 августа 2020 года .
^ «Основанные на времени одноразовые пароли (TOTP)» . www.transmitsecurity.com . 25 июня 2020 года . Получено 2 мая 2022 года .
^ Зеттер, Ким. «RSA соглашается заменить токены безопасности после признания компромисса» . Проводной . Архивировано с оригинала 12 ноября 2020 года . Получено 17 февраля 2017 года .

[RFC6238-1] Jump up to: ^а ^{беременный} ^в М'раихи, Давид; Риделл, Йохан; Пей, Минглиан; Мачани, Салах (май 2011 г.). «RFC 6238-TOTP: одноразовый алгоритм пароля на основе времени» . Архивировано из оригинала 11 июля 2011 года . Получено 13 июля 2011 года .

[2] Александр, Мэдисон. «Клятва подчиняется TOTP: однократная спецификация пароля на основе времени в IETF» . Открытая аутентификация . Архивировано с оригинала 9 апреля 2013 года . Получено 22 февраля 2010 года .

[3] Umawing, Jovi (21 января 2019 г.). «Была ли потерпела поражение двухфакторной аутентификации? В центре внимания последнего вызова 2FA» . MalwareBytes Labs . Архивировано из оригинала 25 сентября 2020 года . Получено 9 августа 2020 года .

[4] «Основанные на времени одноразовые пароли (TOTP)» . www.transmitsecurity.com . 25 июня 2020 года . Получено 2 мая 2022 года .

[5] Зеттер, Ким. «RSA соглашается заменить токены безопасности после признания компромисса» . Проводной . Архивировано с оригинала 12 ноября 2020 года . Получено 17 февраля 2017 года .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]