Godkender-apps, hardware-tokens og SMS-koder er almindelige godkendelsesmetoder, De vil støde på, når De konfigurerer to-faktor-godkendelse (2FA). De baserer sig alle på engangsadgangskoder (OTP). TOTP og HOTP er to standardiserede typer af OTP’er, mens SMS- og e-mailkoder er andre almindelige leveringsmetoder for OTP’er. Selvom de grundlæggende tjener samme formål, er deres implementeringer forskellige, hvilket giver dem unikke fordele og begrænsninger. I denne artikel vil vi gennemgå HOTP vs. TOTP vs. OTP og forklare, hvilken løsning der giver mest mening til forskellige brugsscenarier.
Forståelse af HOTP, TOTP og OTP
Engangsadgangskode (OTP)
OTP’er er midlertidige koder, undertiden kaldet engangsadgangskoder eller 2FA-koder, der kun bruges én gang. De erstatter ikke adgangskoder, men giver i stedet et ekstra lag af sikkerhed. OTP’er bruges ofte i bankapplikationer til identitetsbekræftelse under login, eller når De konfigurerer en onlinekonto.
Note: OTP er en fællesbetegnelse for forskellige former for engangsadgangskoder, herunder TOTP, HOTP og e-mail/SMS.
Tidsbaseret engangsadgangskode (TOTP)
TOTP-koder er typisk 6-cifrede koder, der genereres af godkender-apps. De er gyldige i omkring 30 sekunder (undertiden op til 60 seconds, afhængigt af tjenesten). Når en kode udløber, fungerer den ikke længere, og en ny genereres. TOTP’s tidsbaserede natur gør den yderst sikker, da den begrænser tidsvinduet for, at angribere kan bruge en stjålet kode.
HMAC-baseret engangsadgangskode (HOTP)
HOTP’er findes ofte i hardware-tokens som YubiKeys og afhænger af et tællerbaseret system til at generere koder. Dette system fungerer på samme måde som en bog med nummererede kuponer – der er en rækkefølge af koder, som matches med systemet. Så længe hardware-tokenet og applikationsserveren forbliver synkroniserede, får De adgang.
I modsætning til TOTP udløber HOTP-koder ikke på en timer. De forbliver gyldige, indtil De bruger dem eller genererer en ny kode. Dette gør dem ideelle til offline-scenarier, men det betyder også, at hvis De genererer en kode og ikke bruger den, forbliver den en gyldig nøgle, som en angriber kan finde og bruge.
HOTP, TOTP og OTP: Vigtige forskelle
TOTP og HOTP er begge typer af OTP’er med forskellige genereringsmetoder. For eksempel, hvis De sammenligner TOTP med OTP, sammenligner De sandsynligvis de tidsbaserede koder fra godkender-apps med generelle OTP-metoder som SMS- og e-mailkoder.
| SMS-/e-mailkoder | TOTP | HOTP | |
| Kodes gyldighed | Varierer (minutter til timer) | 30 til 60 sekunder | Indtil en ny kode genereres |
| Sikkerhed* | Lav | Høj | Moderat |
| Konfigurationskompleksitet | Ingen | Lav | Moderat |
| Krav om aktivt netværk | Ja | Nej | Nej |
| Yderligere hardware | Ingen | Ingen | Hardware-token |
*Sikkerhedsniveau baseret på koders gyldighedsperioder og risiko for opsnapning.
Sikkerhed
HOTP, TOTP og OTP tilbyder forskellige sikkerhedsniveauer, hvor de vigtigste overvejelser er eksponeringstid og transmissionsmetode.
TOTP tilbyder generelt stærkere sikkerhed end SMS- eller e-mailkoder, da koder genereres på enheden og har en kort gyldighed. Hvis angribere på en eller anden måde får fat i din TOTP-kode, bliver den ubrugelig.
HOTP er bygget på et kryptografisk fundament, hvilket giver solid sikkerhed. Men fordi HOTP-koder ikke udløber på en timer, kan de potentielt lange gyldighedsperioder gøre stjålne koder til en sårbarhed.
SMS- og e-mailkoder er de mindst sikre i gruppen. De sendes over netværk, der kan opsnappes eller omdirigeres, hvilket gør dem mere sårbare over for SIM-bytte- eller phishing-angreb..
Bemærk: Ingen OTP-metode er immun over for social engineering-angreb, såsom phishing. Det er vigtigt at vide, hvordan man spotter phishing for at forsvare sig selv ordentligt.
| SMS-/e-mailkoder | TOTP | HOTP |
| Modtagelig over for opsnapning på grund af krav om aktivt netværk | Minimal tid for angribere til at udnytte stjålne koder | Lang gyldighed giver udvidede muligheder for angreb |
| Ukrypterede platforme gør det nemmere at stjæle koder | Lavere risiko for opsnapning, da koder genereres på enheden | Solid sikkerhed bygget på et kryptografisk fundament |
Brugeroplevelse
Konfigurationskompleksitet, tidspres og pålidelighed påvirker brugeroplevelsen for de tre metoder.
TOTP er pålidelig og praktisk. Konfigurationen er ligetil (ofte blot en scanning af en QR-kode), og koder genereres selv uden et aktivt netværk. Dog skaber den korte kodeudløbsperiode et tidspres, som kan skabe frustration for langsommere brugere eller dem, der administrerer flere konti.
HOTP er til sammenligning meget mere afslappet, helt uden tidsbegrænsninger. Konfigurationen er dog meget mere kompleks og kan indebære køb af yderligere hardware.
SMS- og e-mailkoder er de mest ubesværede uden behov for konfiguration, men de afhænger af netværksforbindelse, hvilket kan forårsage forsinkelser under udfald eller forstyrrelser.
| SMS-/e-mailkoder | TOTP | HOTP |
| Ingen konfiguration påkrævet | Enkel konfiguration via QR-kode med en 2FA-godkender | Kompleks konfiguration, kan kræve yderligere hardware |
| Let tidspres, hvor nogle koder udløber i løbet af timer | Tidspres kan forårsage frustration | Intet tidspres |
| Helt afhængig af et aktivt netværk til levering af koder | Fungerer pålideligt selv uden en netværksforbindelse | Fungerer offline, men der kan opstå synkroniseringsproblemer |
Begrænsninger
De unikke begrænsninger ved hver metode vil påvirke, hvordan og hvornår De bruger dem. SMS- og e-mailkoder fungerer med Deres eksisterende enheder, men deres afhængighed af Deres netværks- og internetforbindelser kan forårsage forsinkelser i leveringen af koder, som endda kan vare længere end deres gyldighed.
TOTP kræver ikke en netværksforbindelse for at generere koder, men det kræver, at Deres smartphone er tidssynkroniseret med serveren, for at Deres kode kan fungere. Den bedste måde at sikre dette på er at lade Deres enheds ur synkronisere automatisk med internettet. Så når De rejser, bevares tidssynkroniseringen.
Med HOTP kan generering af nye koder offline være en fordel, når netværksforbindelsen er dårlig. Dette er dog et tveægget sværd. Gengenerering af koder uden at bruge dem kan medføre, at Deres enhed kommer ud af synkronisering med serveren, hvilket skaber godkendelsesfejl. Derudover lægger den manuelle gengenerering, der kræves med HOTP, et stort sikkerhedsansvar på brugeren.
| SMS-/e-mailkoder | TOTP | HOTP |
| Områder med dårligt netværk kan forårsage betydelige forsinkelser i leveringen af koder | Enhedens tid skal være synkroniseret med serverens tid, selv under rejser | Kan komme ud af synkronisering, hvis der genereres for mange koder, som ikke bruges |
Hvilken OTP-metode bør De bruge?
Det korte svar er, at TOTP er den bedste standard for de fleste mennesker, mens HOTP opfylder specifikke offlinebehov. Begge er bedre end SMS.
Selvom individuelle behov varierer, synes TOTP at være det mest balancerede valg i de fleste situationer. Den tidsbaserede natur giver et ekstra sikkerhedslag, og tilgængelighed via smartphones gør det til et praktisk og sikkert valg til de konti, De regelmæssigt får adgang til. Men for en endnu stærkere beskyttelse mod phishing går hardwarebaserede metoder som FIDO2/adgangsnøgler længere end nogen OTP-metode.
Gem adgangskoder og generer OTP’er på sikker vis
Administrering af adgangskoder og TOTP-godkendelseskoder kan være besværligt – konstant skift mellem apps under login reducerer den i forvejen begrænsede tid, De har til at indtaste koder. Proton Pass er en sikker adgangskodeadministrator, der reducerer denne friktion med vores integrerede 2FA-funktionalitet (TOTP). Få adgang til Deres adgangskoder, 2FA-koder og mere fra én sikker, krypteret boks.
