Ověřovací aplikace, hardwarové tokeny a kódy zasílané přes SMS jsou běžné metody ověření, se kterými se setkáte při nastavování dvoufázového ověření (2FA). Všechny tyto metody spoléhají na jednorázová hesla (OTP). TOTP a HOTP jsou dva standardizované typy OTP, zatímco kódy z SMS a e-mailů jsou dalšími běžnými způsoby doručení OTP. Ačkoli v zásadě slouží ke stejnému základnímu účelu, jejich implementace se liší, což jim dává jedinečné výhody a omezení. V tomto článku si rozebereme rozdíly mezi HOTP, TOTP a OTP a vysvětlíme si, která možnost dává pro různé případy použití největší smysl.
Porozumění HOTP, TOTP a OTP
Jednorázové heslo (OTP)
Kódy OTP jsou dočasné kódy, někdy označované jako jednorázová hesla nebo kódy 2FA, které se používají pouze jednou. Nenahrazují hesla, ale poskytují další vrstvu zabezpečení. Kódy OTP se běžně používají v bankovních aplikacích k ověření identity při přihlašování nebo při zakládání online účtu.
Poznámka: OTP je zastřešující termín pro různé formy jednorázových hesel, včetně TOTP, HOTP a e-mailu/SMS.
Časově omezené jednorázové heslo (TOTP)
Kódy TOTP jsou obvykle šestimístné kódy generované ověřovacími aplikacemi. Jsou platné přibližně 30 sekund (někdy až 60 sekund v závislosti na dané službě). Jakmile platnost kódu vyprší, kód již není funkční a vygeneruje se nový. Časový charakter TOTP zajišťuje vysokou bezpečnost, protože omezuje časové okno, které mají útočníci k použití případného odcizeného kódu k dispozici.
Jednorázové heslo založené na algoritmu HMAC (HOTP)
Kódy HOTP se běžně nacházejí v hardwarových tokenech, jako jsou YubiKey, a ke generování kódů využívají systém založený na počítadle. Tento systém funguje podobně jako kniha očíslovaných poukázek – existuje průběžné pořadí kódů, které se porovnává se systémem. Dokud zůstávají hardwarový token a aplikační server synchronizované, získáte přístup.
Na rozdíl od TOTP platnost kódů HOTP nevyprší na základě časovače. Zůstávají platné, dokud je nepoužijete nebo nevygenerujete nový kód. Díky tomu jsou ideální pro offline scénáře, ale zároveň to znamená, že pokud kód vygenerujete a nepoužijete ho, zůstává platným klíčem, který by mohl útočník najít a zneužít.
HOTP, TOTP a OTP: Hlavní rozdíly
TOTP i HOTP jsou typy OTP s různými metodami generování. Pokud například porovnáváte TOTP s OTP, pravděpodobně porovnáváte časově omezené kódy z ověřovacích aplikací s obecnými metodami OTP, jako jsou kódy z SMS a e-mailů.
| Kódy z SMS/e-mailu | TOTP | HOTP | |
| Platnost kódu | Liší se (minuty až hodiny) | 30 až 60 sekund | Dokud není vygenerován nový kód |
| Zabezpečení* | Nízká | Vysoká | Střední |
| Složitost instalace | Žádná | Nízká | Střední |
| Požadavek na aktivní síť | Ano | Ne | Ne |
| Dodatečný hardware | Žádná | Žádná | Hardwarový token |
*Úroveň zabezpečení na základě oken platnosti kódu a rizika zachycení.
Zabezpečení
HOTP, TOTP a OTP nabízejí různé úrovně zabezpečení, přičemž hlavními faktory jsou doba vystavení a způsob přenosu.
TOTP obecně nabízí silnější zabezpečení než kódy z SMS nebo e-mailu, protože kódy se generují v zařízení a mají krátkou platnost. Pokud útočníci váš kód TOTP nějakým způsobem získají, bude jim k ničemu.
HOTP je postaveno na kryptografických základech, což poskytuje spolehlivé zabezpečení. Protože však platnost kódů HOTP nevyprší na základě časovače, potenciálně dlouhá okna platnosti by mohla ze zcizených kódů učinit zranitelnost.
Kódy z SMS a e-mailu jsou z celé skupiny nejméně bezpečné. Přenášejí se přes sítě, které lze odposlouchávat nebo přesměrovat, což je činí zranitelnějšími vůči útokům typu SIM swap nebo phishing..
Poznámka: Žádná metoda OTP není imunní vůči útokům sociálního inženýrství, jako je phishing. Abyste se mohli správně bránit, je důležité vědět, jak phishing rozpoznat.
| Kódy z SMS/e-mailu | TOTP | HOTP |
| Náchylné k zachycení kvůli požadavkům na aktivní síť | Minimální čas pro útočníky na zneužití odcizených kódů | Dlouhá platnost nabízí větší prostor pro útoky |
| Nešifrované platformy usnadňují krádež kódů | Nižší riziko zachycení, protože kódy se generují v zařízení | Spolehlivé zabezpečení postavené na kryptografických základech |
Uživatelská zkušenost
Složitost instalace, časový tlak a spolehlivost ovlivňují uživatelskou zkušenost u těchto tří metod.
TOTP je spolehlivá a pohodlná metoda. Instalace je přímočará (často stačí jednoduše naskenovat QR kód) a kódy se generují i bez aktivní sítě. Krátká platnost kódu však vytváří časový tlak, což může způsobit frustraci pomalejším uživatelům nebo těm, kteří spravují více účtů.
HOTP je ve srovnání s tím mnohem uvolněnější, bez jakýchkoli časových omezení. Instalace je však mnohem složitější a může vyžadovat nákup dodatečného hardwaru.
Kódy z SMS a e-mailu jsou nejjednodušší, nevyžadují žádnou instalaci, ale závisí na síťovém připojení, což může během výpadků nebo poruch způsobit zpoždění.
| Kódy z SMS/e-mailu | TOTP | HOTP |
| Není vyžadována žádná instalace | Jednoduchá instalace přes QR kód s 2FA ověřovací aplikací | Složitá instalace, může vyžadovat dodatečný hardware |
| Mírný časový tlak, přičemž platnost některých kódů vyprší až za několik hodin | Časový tlak může způsobit frustraci | Žádný časový tlak |
| Zcela závislé na aktivní síti pro doručení kódu | Funguje spolehlivě i bez síťového připojení | Funguje offline, ale mohou nastat problémy se synchronizací |
Omezení
Jedinečná omezení každé metody ovlivní to, jak a kdy je budete používat. Kódy z SMS a e-mailu fungují s vašimi stávajícími zařízeními, ale jejich závislost na síti a internetovém připojení může způsobit zpoždění doručení kódu, které může trvat i déle než jejich platnost.
TOTP k vygenerování kódů nevyžaduje síťové připojení, ale aby váš kód fungoval, musí být váš chytrý telefon časově synchronizován se serverem. Nejlepším způsobem, jak toho docílit, je nechat hodiny zařízení automaticky synchronizovat s internetem. Když pak cestujete, synchronizace času zůstane zachována.
U HOTP může být generování nových kódů offline výhodné při špatném síťovém připojení. Jedná se však o dvousečnou zbraň. Opětovné generování kódů bez jejich použití může způsobit, že se vaše zařízení desynchronizuje se serverem, což povede k selhání ověření. Ruční opětovné generování vyžadované u HOTP navíc klade na uživatele obrovskou odpovědnost za bezpečnost.
| Kódy z SMS/e-mailu | TOTP | HOTP |
| Oblasti se špatnou sítí mohou způsobit výrazné zpoždění při doručování kódů | Čas zařízení musí být synchronizován s časem serveru, a to i při cestování | Může dojít k desynchronizaci, pokud se vygeneruje příliš mnoho kódů, které se nepoužijí |
Kterou metodu OTP byste měli použít?
Stručná odpověď zní, že TOTP je nejlepším standardem pro většinu lidí, zatímco HOTP slouží specifickým offline potřebám. Obě metody jsou lepší než SMS.
Ačkoli se individuální potřeby liší, TOTP se ve většině situací jeví jako vyváženější volba. Jeho časová podstata poskytuje další úroveň zabezpečení a snadná dostupnost v chytrých telefonech z něj činí pohodlnou a bezpečnou volbu pro účty, ke kterým pravidelně přistupujete. Pro ještě silnější ochranu před phishingem však hardwarové metody, jako je FIDO2 nebo přístupové klíče, jdou dále než jakákoli metoda OTP.
Ukládejte hesla a generujte kódy OTP bezpečně
Správa hesel a ověřovacích kódů TOTP může být nepříjemná — neustálé přepínání aplikací během přihlašování zkracuje již tak omezený čas, který máte na zadání kódů. Proton Pass je bezpečný správce hesel, který toto nepohodlí zmírňuje díky naší integrované funkci 2FA (TOTP). Přistupujte ke svým heslům, kódům 2FA a dalšímu obsahu z jednoho bezpečného, šifrovaného trezoru.
