Co je HOTP? Průvodce jednorázovými hesly založenými na algoritmu HMAC

Pokud jste někdy použili hardwarový token ke schválení transakcí v digitálním bankovnictví nebo klepli na YubiKey pro vygenerování přihlašovacího kódu, použili jste technologii jednorázového hesla založeného na algoritmu HMAC (HOTP). Abychom Vám pomohli pochopit, jak můžete HOTP využít k ochraně svých účtů, podíváme se na to, jak HOTP funguje, jaké jsou jeho výhody a omezení, a porovnáme ho s jinými metodami OTP.

Co je HOTP?

HOTP je zkratka pro jednorázové heslo založené na algoritmu HMAC. Jedná se o metodu dvoufázového ověření (2FA), která na vyžádání generuje jednorázové přihlašovací kódy.

HMAC neboli Hash-based Message Authentication Code (kód pro ověření zpráv využívající hašovací funkci) je kryptografická metoda, která používá tajný klíč a hašovací funkci k vytvoření bezpečné hodnoty odolné proti manipulaci. HOTP používá HMAC společně s počítadlem, aby bylo zajištěno, že každý ověřovací kód je jedinečný a lze jej použít pouze jednou.

Vzhledem k tomu, že kódy HOTP zůstávají platné, dokud nejsou použity nebo nahrazeny, jsou vhodné pro práci na dálku a jiná prostředí, kde není možná spolehlivá synchronizace času nebo neustálé připojení.

Jak HOTP funguje?

Ověření pomocí HOTP je založeno na dvou sdílených komponentách: tajném klíči a počítadle. Zařízení uživatele i ověřovací server tyto hodnoty ukládají a používají je k nezávislému generování stejného jednorázového kódu.

Instalace: Při nastavení hardwarového tokenu je sdílen tajný klíč mezi zařízením a aplikačním serverem, přičemž je na obou stranách bezpečně uložen.

Generování kódu: Zařízení používá kryptografickou hašovací funkci označovanou jako HMAC ke spojení tajného klíče s aktuální hodnotou počítadla. Výsledkem je krátké, nepředvídatelné jednorázové heslo.

Ověření: Když zadáte kód HOTP, server provede stejný výpočet s využitím vlastní kopie tajného klíče a počítadla. Pokud se kódy shodují, je přístup povolen.

Vysvětlení systému počítadla HOTP

HOTP spoléhá na jedinečný systém počítadla sdílený mezi Vaším zařízením a ověřovacím serverem. Při každém vygenerování nového kódu se hodnota počítadla zvýší. Po úspěšném přihlášení aktualizuje své počítadlo také server. Dokud zůstanou počítadla zařízení a serveru synchronizovaná, budou se kódy shodovat a umožní Vám přístup.

Představte si HOTP jako knihu očíslovaných poukázek, které odtrháváte a používáte postupně za sebou. Použitou poukázku nelze znovu použít a musíte použít tu následující. Systém počítadla HOTP funguje podobně.

Ověření pomocí HOTP vs. jiné metody OTP

HOTP vs. OTP

Jednorázová hesla (OTP) jsou širokým pojmem pro různá jednorázová hesla, která používáme pro 2FA. HOTP je specifický typ OTP, který k generování svých kódů spoléhá na systém založený na počítadle.

HOTP vs. TOTP

Jednorázová hesla založená na čase (TOTP) automaticky generují nový kód každých 30 až 60 sekund. Nejběžnějším příkladem TOTP jsou kódy generované ověřovacími aplikacemi. Naproti tomu HOTP generuje nový kód pouze na vyžádání a využívá k tomu počítadlo namísto časovače.

Tento rozdíl ovlivňuje bezpečnost jednotlivých metod OTP. Rychlé vypršení platnosti TOTP dává útočníkům jen velmi malou příležitost. Naopak kódy HOTP mohou zůstat platné po celé dny, a dokonce i týdny.

HOTP je však spolehlivější v situacích, kdy mají zařízení nespolehlivý čas. Například u zařízení ve vzdálených umístěních se slabým internetovým připojením.

HOTP vs. SMS a e-mailové kódy

Kódy OTP odeslané prostřednictvím SMS a e-mailu jsou náchylné k zachycení, protože musí procházet mobilními a internetovými sítěmi. HOTP generuje kódy přímo v zařízení, což zvyšuje jeho bezpečnost a zároveň poskytuje spolehlivý přístup i při výpadcích sítě.

Jaké jsou výhody a omezení HOTP?

Výhody ověření pomocí HOTP

Použití HOTP jako preferované metody OTP přináší několik výhod:

• Funguje offline: HOTP může fungovat offline, což z něj činí ideální řešení pro umístění s omezeným přístupem k internetu.
• Žádný časový tlak: Platnost kódů HOTP automaticky nevyprší, takže na zadání kódu máte dostatek času.
• Uznávaný algoritmus: HOTP je definován standardem RFC 4226(nové okno), což zajišťuje kompatibilitu mezi poskytovateli softwaru a hardwarovými tokeny od různých výrobců.
• Méně závislostí: Systém HOTP založený na počítadle nespoléhá na přesný čas ani nepřetržité připojení, díky čemuž může být v určitých prostředích předvídatelnější.

Omezení ověření pomocí HOTP

Stejně jako u všech technologií je i u HOTP třeba zvážit několik důležitých aspektů:

• Časově neomezená platnost: Kódy HOTP mohou zůstat aktivní po neomezenou dobu, pokud se nevygenerují nové kódy. To dává útočníkům více času na zneužití odcizených kódů.
• Synchronizace počítadla: Pokud generujete kódy bez jejich použití, mohou se počítadla vašeho zařízení a serveru rozsynchronizovat, což způsobí selhání ověření.
• Ruční správa: Vzhledem k tomu, že platnost kódů automaticky nevyprší, musíte po každém použití pamatovat na vygenerování nových kódů.

Udělejte krok k silnějšímu zabezpečení hesel

Ačkoli HOTP nemusí nabízet bezpečnostní výhodu v podobě automatického vypršení platnosti nebo pohodlí kódů SMS, jeho systém založený na počítadle nabízí jedinečné výhody. Jedná se o osvědčený systém 2FA se spolehlivým offline přístupem a absence časového tlaku může být pro někoho výhodnější.
Chcete-li snadno spravovat svá hesla a kódy 2FA v jednom šifrovaném umístění, zvažte použití služby Proton Pass. Náš zabezpečený správce hesel s integrovaným ověřovatelem 2FA chrání všechny vaše přihlašovací údaje a kódy 2FA pomocí plného koncového šifrování. Zabezpečení a usnadnění vašeho digitálního života nebylo nikdy jednodušší.