Tunnistautumissovellukset, laitteistotunnisteet ja SMS-koodit ovat yleisiä tunnistautumismenetelmiä, joita kohtaatte määrittäessänne kaksivaiheista tunnistautumista (2FA). Ne kaikki perustuvat kertakäyttöisiin salasanoihin (OTP). TOTP ja HOTP ovat kaksi standardoitua OTP-tyyppiä, kun taas SMS- ja sähköpostikoodit ovat muita yleisiä OTP-tunnusten toimitustapoja. Vaikka ne palvelevat pohjimmiltaan samaa perustarkoitusta, niiden toteutustavat eroavat toisistaan, mikä tuo niille ainutlaatuisia etuja ja rajoituksia. Tässä artikkelissa vertailemme HOTP-, TOTP- ja OTP-menetelmiä ja selitämme, mikä vaihtoehto on järkevin erilaisissa käyttötapauksissa.
HOTP-, TOTP- ja OTP-menetelmien ymmärtäminen
Kertakäyttöinen salasana (OTP)
OTP-tunnukset ovat väliaikaisia koodeja, joita kutsutaan joskus kertakäyttösalasanoiksi tai 2FA-koodeiksi ja joita käytetään vain kerran. Ne eivät korvaa salasanoja, vaan tarjoavat ylimääräisen tietoturvakerroksen. OTP-tunnuksia käytetään yleisesti pankkisovelluksissa henkilöllisyyden vahvistamiseen kirjautumisen yhteydessä tai määritettäessä yhdistettyä tiliä.
Huomautus: OTP on kattotermi erilaisille kertakäyttöisille salasanoille, mukaan lukien TOTP, HOTP sekä sähköposti/SMS.
Aikapohjainen kertakäyttöinen salasana (TOTP)
TOTP-koodit ovat yleensä 6-numeroisia koodeja, joita tunnistautumissovellukset luovat. Ne ovat voimassa noin 30 sekuntia (joskus jopa 60 sekuntia palvelusta riippuen). Kun koodi erääntyy, se ei ole enää toiminnassa, ja uusi koodi luodaan. TOTP:n aikapohjaisuus tekee siitä erittäin turvallisen, sillä se rajoittaa hyökkääjien mahdollisuuksia käyttää varastettua koodia.
HMAC-pohjainen kertakäyttöinen salasana (HOTP)
HOTP-koodit löytyvät yleisesti laitteistotunnisteista, kuten YubiKey-avaimista, ja ne perustuvat laskuripohjaiseen järjestelmään koodien luomiseksi. Tämä järjestelmä toimii samalla tavalla kuin numeroitujen lipukkeiden vihko – koodeilla on juokseva järjestys, jota verrataan järjestelmään. Niin kauan kuin laitteistotunniste ja sovelluspalvelin pysyvät synkronoituina, teille myönnetään pääsy.
Toisin kuin TOTP, HOTP-koodit eivät vanhene ajastimen mukaan. Ne pysyvät voimassa, kunnes käytätte niitä tai luotte uuden koodin. Tämä tekee niistä ihanteellisen yhteydettömiin tilanteisiin, mutta se tarkoittaa myös sitä, että jos luotte koodin ettekä käytä sitä, se pysyy voimassa olevana avaimena, jonka hyökkääjä voi löytää ja käyttää.
HOTP, TOTP ja OTP: Tärkeimmät erot
Sekä TOTP että HOTP ovat OTP-tyyppejä, joilla on erilaiset luontimenetelmät. Jos esimerkiksi vertaatte TOTP- ja OTP-menetelmiä, vertaatte todennäköisesti tunnistautumissovellusten aikapohjaisia koodeja yleisiin OTP-menetelmiin, kuten SMS- ja sähköpostikoodeihin.
| SMS- ja sähköpostikoodit | TOTP | HOTP | |
| Koodin voimassaolo | Vaihtelee (minuuteista tunteihin) | 30–60 sekuntia | Kunnes uusi koodi luodaan |
| Turvallisuus* | Alhainen | Korkea | Kohtalainen |
| Asennuksen monimutkaisuus | Ei lainkaan | Alhainen | Kohtalainen |
| Aktiivisen verkon vaatimus | Kyllä | Ei | Ei |
| Lisälaitteisto | Ei lainkaan | Ei lainkaan | Laitteistotunniste |
*Turvallisuustaso perustuu koodin voimassaoloaikoihin ja kaappausriskiin.
Turvallisuus
HOTP, TOTP ja OTP tarjoavat eritasoista turvallisuutta, ja tärkeimmät huomioon otettavat seikat ovat altistumisaika ja siirtomenetelmä.
TOTP tarjoaa yleensä vahvemman turvallisuuden kuin SMS- tai sähköpostikoodit, sillä koodit luodaan laitteella ja niiden voimassaoloaika on lyhyt. Jos hyökkääjät jostain syystä saavat TOTP-koodinne, se muuttuu hyödyttömäksi.
HOTP perustuu kryptografiseen perustaan, mikä tarjoaa vankan turvallisuuden. Koska HOTP-koodit eivät kuitenkaan vanhene ajastimen mukaan, mahdollisesti pitkät voimassaoloajat voivat tehdä varastetuista koodeista haavoittuvuuden.
SMS- ja sähköpostikoodit ovat joukon vähiten turvallisia. Ne kulkevat verkkojen kautta, joita voidaan kaapata tai joiden liikennettä voidaan ohjata uudelleen, mikä tekee niistä haavoittuvampia SIM-kortinvaihto- tai tietojenkalasteluhyökkäyksille..
Huomautus: Mikään OTP-menetelmä ei ole immuuni sosiaalisen manipuloinnin hyökkäyksille, kuten tietojenkalastelulle. On tärkeää tietää, miten tunnistaa tietojenkalastelu, jotta voitte suojautua asianmukaisesti.
| SMS- ja sähköpostikoodit | TOTP | HOTP |
| Altis kaappaukselle aktiivisen verkon vaatimusten vuoksi | Minimaalinen aika hyökkääjille hyödyntää varastettuja koodeja | Pitkä voimassaoloaika tarjoaa enemmän tilaisuuksia hyökkäyksille |
| Salaamattomat alustat helpottavat koodien varastamista | Pienempi kaappausriski, koska koodit luodaan laitteella | Kryptografiseen perustaan perustuva vankka turvallisuus |
Käyttökokemus
Asennuksen monimutkaisuus, aikapaine ja luotettavuus vaikuttavat näiden kolmen menetelmän käyttökokemukseen.
TOTP on luotettava ja kätevä. Asennus on suoraviivaista (usein vain QR-koodin skannaus), ja koodit luodaan myös ilman aktiivista verkkoa. Koodin lyhyt voimassaoloaika luo kuitenkin aikapainetta, mikä voi aiheuttaa turhautumista hitaammille käyttäjille tai niille, jotka hallitsevat useita tilejä.
HOTP on vertailussa paljon rennompi, sillä siinä ei ole aikarajoitteita. Asennus on kuitenkin huomattavasti monimutkaisempaa ja saattaa edellyttää lisälaitteiston hankkimista.
SMS- ja sähköpostikoodit ovat vaivattomimpia, sillä ne eivät vaadi asennusta, mutta ne tukeutuvat verkkoyhteyteen, mikä voi aiheuttaa viivästyksiä käyttökatkojen tai häiriöiden aikana.
| SMS- ja sähköpostikoodit | TOTP | HOTP |
| Asennusta ei vaadita | Yksinkertainen asennus QR-koodilla 2FA-tunnistussovelluksen avulla | Monimutkainen asennus, saattaa vaatia lisälaitteistoa |
| Hieman aikapainetta, sillä jotkin koodit vanhenevat tunneissa | Aikapaine voi aiheuttaa turhautumista | Ei aikapainetta |
| Täysin riippuvainen aktiivisesta verkosta koodin toimittamiseksi | Toimii luotettavasti myös ilman verkkoyhteyttä | Toimii yhteydettömässä tilassa, mutta synkronointiongelmia voi ilmetä |
Rajoitukset
Kunkin menetelmän ainutlaatuiset rajoitukset vaikuttavat siihen, miten ja milloin käytätte niitä. SMS- ja sähköpostikoodit toimivat nykyisillä laitteillanne, mutta niiden riippuvuus verkko- ja internetyhteyksistänne voi aiheuttaa viivästyksiä koodien toimittamisessa, jotka saattavat kestää jopa pidempään kuin niiden voimassaoloaika.
TOTP ei vaadi verkkoyhteyttä koodien luomiseen, mutta koodinne toimiminen edellyttää, että älypuhelimenne aika on synkronoitu palvelimen kanssa. Paras tapa varmistaa tämä on antaa laitteenne kellon synkronoitua automaattisesti internetin kanssa. Näin ollen matkustaessanne aikasynkronointi pysyy voimassa.
HOTP-menetelmällä uusien koodien luominen yhteydettömässä tilassa voi olla hyödyllistä, kun verkkoyhteys on heikko. Tämä on kuitenkin kaksiteräinen miekka. Koodien luominen uudelleen ilman niiden käyttöä voi johtaa siihen, että laitteenne synkronointi palvelimen kanssa katkeaa, mikä aiheuttaa tunnistautumisvirheitä. Lisäksi HOTP-menetelmän vaatima manuaalinen uudelleenluominen asettaa suuren turvallisuusvastuun käyttäjälle.
| SMS- ja sähköpostikoodit | TOTP | HOTP |
| Heikon verkon alueet voivat aiheuttaa merkittäviä viivästyksiä koodin toimittamisessa | Laitteen ajan on oltava synkronoituna palvelimen ajan kanssa, myös matkustettaessa | Voi mennä pois synkronoinnista, jos koodeja luodaan liikaa ilman, että niitä käytetään |
Mitä OTP-menetelmää teidän tulisi käyttää?
Lyhyt vastaus on, että TOTP on paras standardi useimmille ihmisille, kun taas HOTP palvelee erityisiä yhteydettömiä tarpeita. Molemmat ovat parempia kuin SMS.
Vaikka yksilölliset tarpeet vaihtelevat, TOTP vaikuttaa tasapainoisemmalta valinnalta useimmissa tilanteissa. Aikaperusteisuus tarjoaa lisäturvaa, ja älypuhelimella käytettävyys tekee siitä kätevän ja turvallisen valinnan tileille, joita käytätte säännöllisesti. Mutta vielä vahvemman suojan saamiseksi tietojenkalastelua vastaan laitteistopohjaiset menetelmät, kuten FIDO2/pääsyavaimet, menevät pidemmälle kuin mikään OTP-menetelmä.
Tallentakaa salasanat ja luokaa OTP-koodit turvallisesti
Salasanojen ja TOTP-tunnistautumiskoodien hallinta voi olla vaivalloista – jatkuva sovellusten välillä siirtyminen kirjautumisen aikana vähentää entisestään sitä rajoitettua aikaa, joka teillä on koodien syöttämiseen. Proton Pass on turvallinen salasananhallinta, joka vähentää tätä kitkaa integroidun 2FA (TOTP) -toiminnallisuutemme avulla. Käyttäkää salasanojanne, 2FA-koodejanne ja muuta sisältöä yhdestä turvallisesta, salatusta holvista.
