Hvis De nogensinde har brugt en hardware-token til at godkende digitale banktransaktioner eller trykket på en YubiKey for at generere en loginkode, har De brugt HMAC-baseret engangsadgangskode-teknologi (HOTP). For at hjælpe Dem med at forstå, hvordan De kan bruge HOTP til at beskytte Deres konti, vil vi undersøge, hvordan HOTP fungerer, dets fordele og begrænsninger, samt sammenligne det med andre OTP-metoder.

Hvad er HOTP?

HOTP står for HMAC-baseret engangsadgangskode. Det er en metode til to-faktor-godkendelse (2FA), der genererer engangsloginkoder efter behov.

HMAC, eller Hash-based Message Authentication Code, er en kryptografisk teknik, der bruger en hemmelig nøgle og en hashingfunktion til at fremstille en sikker, manipulationssikker værdi. HOTP anvender HMAC sammen med en tæller for at sikre, at hver godkendelseskode er unik og kun kan bruges én gang.

Da HOTP-koder forbliver gyldige, indtil de bruges eller udskiftes, er de velegnede til fjernarbejde og andre miljøer, hvor pålidelig tidssynkronisering eller konstant forbindelse ikke er mulig.

Hvordan fungerer HOTP?

HOTP-godkendelse os baseret på to delte komponenter: en hemmelig nøgle og en tæller. Både brugerens enhed og godkendelsesserveren gemmer disse værdier og bruger dem til uafhængigt at generere den samme engangskode.

Konfiguration: Når en hardware-token konfigureres, deles en hemmelig nøgle mellem enheden og applikationsserveren og lagres sikkert på begge sider.

Generering af en kode: Enheden bruger en kryptografisk hashfunktion kaldet HMAC til at kombinere den hemmelige nøgle med den aktuelle tællerværdi. Resultatet er en kort, uforudsigelig engangsadgangskode.

Godkendelse: Når De indtaster HOTP-koden, udfører serveren den samme beregning ved hjælp af sin egen kopi af den hemmelige nøgle og tæller. Hvis koderne matcher, gives der adgang.

HOTP-tællersystemet forklaret

HOTP bygger på et unikt tællersystem, der deles mellem Deres enhed og godkendelsesserveren. Hver gang De genererer en ny kode, øges tælleren. Efter et vellykket login opdaterer serveren også sin tæller. Så længe enhedens og serverens tællere forbliver synkroniserede, vil koderne matche og give Dem adgang.

Tænk på HOTP som et hæfte med nummererede kuponer, De river af og bruger i rækkefølge. En brugt kupon kan ikke genbruges, og De skal bruge den næste. HOTP-tællersystemet fungerer på lignende vis.

HOTP-godkendelse vs. andre OTP’er

HOTP vs. OTP

Engangsadgangskoder (OTP) er en bred betegnelse for de forskellige engangsadgangskoder, vi bruger til 2FA. HOTP er en specifik type OTP, der bygger på et tællerbaseret system til at generere sine koder.

HOTP vs. TOTP

Tidsbaserede engangsadgangskoder (TOTP) genererer automatisk en ny kode hvert 30. til 60. sekund. Det mest almindelige eksempel på TOTP er koderne genereret af godkender-apps. HOTP genererer derimod kun en ny kode, når der anmodes om det, ved hjælp af en tæller frem for en timer.

Denne forskel påvirker sikkerheden for hver enkelt OTP-metode. Det hurtige udløb af TOTP giver angribere et meget lille tidsvindue. Omvendt kan HOTP-koder forblive gyldige i dagevis og endda ugevis.

HOTP er dog mere pålidelig i situationer, hvor enheder har upålidelige ure. For eksempel udstyr på fjerntliggende placeringer med svage internetforbindelser.

HOTP mod SMS- og e-mailkoder

OTP-koder, der sendes via SMS og e-mail, er sårbare over for opsnapning, fordi de skal transporteres over mobil- og internetnetværk. HOTP genererer koder på selve enheden, hvilket gør det mere sikkert, samtidig med at det giver stabil adgang, selv under netværksafbrydelser.

Hvad er fordelene og begrænsningerne ved HOTP?

Fordelene ved HOTP-godkendelse

Der er flere fordele ved at bruge HOTP som Deres foretrukne OTP-metode:

  • Fungerer offline: HOTP kan fungere offline, hvilket gør det ideelt til placeringer med begrænset internetadgang.
  • Intet tidspres: HOTP-koder udløber ikke automatisk, så De kan tage Dem god tid til at indtaste koden.
  • Anerkendt algoritme: HOTP er defineret af RFC 4226(nyt vindue), hvilket sikrer kompatibilitet på tværs af softwareudbydere og hardwaretokens fra forskellige leverandører.
  • Færre afhængigheder: HOTPs tællerbaserede system afhænger ikke af præcise ure eller kontinuerlig forbindelse, hvilket kan gøre det mere forudsigeligt i visse miljøer.

Begrænsningerne ved HOTP-godkendelse

Som med alle teknologier følger der nogle vigtige overvejelser med HOTP:

  • Ubegrænset gyldighed: HOTP-koder kan forblive aktive på ubestemt tid, hvis der ikke genereres nye koder. Dette giver angribere mere tid til at udnytte stjålne koder.
  • Synkronisering af tællere: Hvis De genererer koder uden at bruge dem, kan tællerne på Deres enhed og serveren komme ud af synkronisering, hvilket kan medføre fejl i godkendelsen.
  • Manuel administration: Da koder ikke udløber automatisk, skal De huske at generere nye koder efter hver brug.

Tag et skridt mod stærkere adgangskodesikkerhed

Selvom HOTP måske ikke tilbyder den sikkerhedsmæssige fordel ved automatisk udløb eller bekvemmeligheden ved SMS-koder, giver det tællerbaserede system unikke fordele. Det er et velafprøvet 2FA-system med pålidelig offlineadgang, og fraværet af tidspres kan gøre det foretrukket for nogle.
For nemt at administrere Deres adgangskoder og 2FA-koder på én krypteret placering kan De overveje at bruge Proton Pass. Vores sikre adgangskodeadministrator med en integreret 2FA-godkender holder alle Deres legitimationsoplysninger og 2FA-koder beskyttet med fuld end-to-end-kryptering. Det har aldrig været nemmere at holde Deres digitale liv sikkert og bekvemt.