Mikä on HOTP? Opas HMAC-pohjaisiin kertakäyttösalasanoihin

Jos olette koskaan käyttäneet laitteistotunnistetta digitaalisten pankkitapahtumien hyväksymiseen tai napauttaneet YubiKey-avainta kirjautumiskoodin luomiseksi, olette käyttäneet HMAC-pohjaista kertakäyttösalasana-teknologiaa (HOTP). Auttaaksemme teitä ymmärtämään, miten voitte käyttää HOTP-koodia tilienne suojaamiseen, tutkimme, miten HOTP toimii, mitkä ovat sen edut ja rajoitukset, ja vertaamme sitä muihin OTP-menetelmiin.

Mikä on HOTP?

HOTP tarkoittaa HMAC-pohjaista kertakäyttösalasanaa (HMAC-based one-time password). Se on kaksivaiheinen tunnistautuminen (2FA) -menetelmä, joka luo kertakäyttöisiä kirjautumiskoodeja tarvittaessa.

HMAC eli hajautuspohjainen viestin tunnistuskoodi (Hash-based Message Authentication Code) on kryptografinen tekniikka, joka käyttää salaista avainta ja hajautustoimintoa tuottamaan turvallisen, peukaloinninkestävän arvon. HOTP käyttää HMAC-menetelmää yhdessä laskurin kanssa varmistaakseen, että jokainen tunnistautumiskoodi on ainutlaatuinen ja sitä voidaan käyttää vain kerran.

Koska HOTP-koodit pysyvät voimassa, kunnes niitä käytetään tai ne korvataan, ne sopivat hyvin etätyöhön ja muihin ympäristöihin, joissa luotettava aikasynkronointi tai jatkuva yhteys ei ole mahdollista.

Miten HOTP toimii?

HOTP-tunnistautuminen perustuu kahteen jaettuun komponenttiin: salaiseen avaimeen ja laskuriin. Sekä käyttäjän laite että tunnistautumispalvelin tallentavat nämä arvot ja käyttävät niitä luodakseen itsenäisesti saman kertakäyttöisen koodin.

Asennus: Kun laitteistotunniste määritetään, salainen avain jaetaan laitteen ja sovelluspalvelimen välillä ja tallennetaan turvallisesti molempiin päihin.

Koodin luominen: Laite käyttää HMAC-nimistä kryptografista hajautustoimintoa yhdistääkseen salaisen avaimen nykyiseen laskurin arvoon. Tuloksena on lyhyt, ennalta-arvaamaton kertakäyttösalasana.

Tunnistautuminen: Kun syötätte HOTP-koodin, palvelin suorittaa saman laskutoimituksen käyttäen omaa kopiotaan salaisesta avaimesta ja laskurista. Jos koodit täsmäävät, pääsy sallitaan.

HOTP-laskurijärjestelmä selitettynä

HOTP perustuu ainutlaatuiseen laskurijärjestelmään, joka on jaettu laitteenne ja tunnistautumispalvelimen välillä. Joka kerta kun luotte uuden koodin, laskurin arvo kasvaa. Onnistuneen kirjautumisen jälkeen myös palvelin päivittää laskurinsa. Niin kauan kuin laitteen ja palvelimen laskurit pysyvät synkronoituna, koodit täsmäävät ja teille myönnetään pääsy.

Ajatelkaa HOTP-koodia numeroitujen lipukkeiden vihkona, joita repäisette irti ja käytätte järjestyksessä. Käytettyä lipuketta ei voi käyttää uudelleen, ja teidän on käytettävä seuraavaa. HOTP-laskurijärjestelmä toimii samalla tavalla.

HOTP-tunnistautuminen vs. muut OTP-koodit

HOTP vs. OTP

Kertakäyttösalasanat (OTP) on laaja termi erilaisille kertakäyttöisille salasanoille, joita käytämme 2FA-tunnistautumisessa. HOTP on tietty OTP-tyyppi, joka perustuu laskuripohjaiseen järjestelmään koodiensa luomisessa.

HOTP vs. TOTP

Aikapohjaiset kertakäyttösalasanat (TOTP) luovat automaattisesti uuden koodin 30–60 sekunnin välein. Yleisin esimerkki TOTP-koodista ovat tunnistautumissovellusten luomat koodit. HOTP puolestaan luo uuden koodin vain pyydettäessä käyttäen laskuria ajastimen sijaan.

Tämä ero vaikuttaa kunkin OTP-menetelmän turvallisuuteen. TOTP-menetelmän nopea erääntyminen antaa hyökkääjille vain erittäin pienen aikaikkunan. Sitä vastoin HOTP-koodit voivat pysyä voimassa päiviä ja jopa viikkoja.

HOTP on kuitenkin luotettavampi tilanteissa, joissa laitteiden kellot ovat epätarkkoja. Tällaisia ovat esimerkiksi etäisissä sijainneissa olevat laitteet, joissa on heikko internetyhteys.

HOTP vastaan SMS- ja sähköpostikoodit

SMS-viestillä ja sähköpostitse lähetetyt OTP-koodit ovat alttiita sieppaukselle, koska niiden on kuljettava matkapuhelin- ja internetverkkojen kautta. HOTP luo koodit laitteessa, mikä tekee siitä turvallisemman ja tarjoaa luotettavan pääsyn myös verkkohäiriöiden aikana.

Mitkä ovat HOTP-menetelmän edut ja rajoitukset?

HOTP-tunnistautumisen edut

HOTP-menetelmän käyttämisessä ensisijaisena OTP-menetelmänänne on useita etuja:

• Toimii ilman verkkoyhteyttä: HOTP voi toimia yhteydettömässä tilassa, mikä tekee siitä ihanteellisen sijainteihin, joissa internetyhteys on rajoitettu.
• Ei aikapainetta: HOTP-koodit eivät eräänny automaattisesti, joten voitte syöttää koodin rauhassa.
• Tunnustettu algoritmi: HOTP on määritetty standardissa RFC 4226(uusi ikkuna), mikä varmistaa yhteensopivuuden eri ohjelmistotoimittajien ja useiden eri valmistajien laitteistotunnisteiden välillä.
• Vähemmän riippuvuuksia: HOTP-menetelmän laskuripohjainen järjestelmä ei vaadi tarkkoja kelloja tai jatkuvaa yhteyttä, mikä voi tehdä siitä ennakoitavamman tietyissä ympäristöissä.

HOTP-tunnistautumisen rajoitukset

Kuten kaikkiin teknologioihin, myös HOTP-menetelmään liittyy joitakin tärkeitä huomioita:

• Rajoittamaton voimassaolo: HOTP-koodit voivat pysyä aktiivisina määrättömän ajan, jos uusia koodeja ei luoda. Tämä antaa hyökkääjille enemmän aikaa hyödyntää varastettuja koodeja.
• Laskurin synkronointi: Jos luotte koodeja käyttämättä niitä, laitteenne ja palvelimen laskurit voivat mennä epätahtiin, mikä aiheuttaa tunnistautumisvirheitä.
• Manuaalinen hallinta: Koska koodit eivät eräänny automaattisesti, Teidän on muistettava luoda uusi koodi jokaisen käyttökerran jälkeen.

Ottakaa askel kohti vahvempaa salasanojen turvallisuutta

Vaikka HOTP ei ehkä tarjoa automaattisen erääntymisen tuomaa turvallisuushyötyä tai SMS-koodien mukavuutta, sen laskuripohjainen järjestelmä tarjoaa ainutlaatuisia etuja. Se on todistetusti toimiva 2FA-järjestelmä, jossa on luotettava yhteydetön käyttö, ja aikapaineen puuttuminen voi tehdä siitä joillekin mieluisamman vaihtoehdon.
To easily manage your passwords and 2FA codes in one encrypted location, consider using Proton Pass. Our secure password manager with an integrated 2FA authenticator keeps all your credentials and 2FA codes protected with full end-to-end encryption. Keeping your digital life secure and convenient has never been simpler.