Hvis du noen gang har brukt en maskinvare-token til å godkjenne digitale banktransaksjoner eller trykket på en YubiKey for å generere en påloggingskode, har du brukt HMAC-basert engangspassord-teknologi (HOTP). For å hjelpe deg med å forstå hvordan du kan bruke HOTP til å beskytte kontoene dine, skal vi utforske hvordan HOTP fungerer, fordelene og begrensningene, og sammenligne det med andre OTP-metoder.

Hva er HOTP?

HOTP står for HMAC-basert engangspassord. Det er en metode for tofaktorautentisering (2FA) som genererer engangs påloggingskoder på forespørsel.

HMAC, eller Hash-basert Message Authentication Code, er en kryptografisk teknikk som bruker en hemmelig nøkkel og en hashfunksjon til å produsere en sikker verdi som er vanskelig å manipulere. HOTP bruker HMAC sammen med en teller for å sikre at hver autentiseringskode er unik og bare kan brukes én gang.

Siden HOTP-koder forblir gyldige til de blir brukt eller erstattet, er de godt egnet for hjemmekontor og andre miljøer der pålitelig tidssynkronisering eller konstant tilkobling ikke er mulig.

Hvordan fungerer HOTP?

HOTP-autentisering er basert på to delte komponenter: en hemmelig nøkkel og en teller. Både brukerens enhet og autentiseringstjeneren lagrer disse verdiene og bruker dem til å uavhengig generere den samme engangskoden.

Oppsett: Når en maskinvare-token konfigureres, deles en hemmelig nøkkel mellom enheten og applikasjonstjeneren og lagres sikkert på begge sider.

Generere en kode: Enheten bruker en kryptografisk hashfunksjon kalt HMAC til å kombinere den hemmelige nøkkelen med den gjeldende tellerverdien. Resultatet er et kort, uforutsigbart engangspassord.

Autentisering: Når du angir HOTP-koden, utfører tjeneren den samme beregningen ved hjelp av sin egen kopi av den hemmelige nøkkelen og telleren. Hvis kodene samsvarer, gis det tilgang.

HOTP-tellersystemet forklart

HOTP baserer seg på et unikt tellersystem som deles mellom din enhet og autentiseringstjeneren. Hver gang du genererer en ny kode, øker telleren. Etter en vellykket pålogging oppdaterer tjeneren også telleren sin. Så lenge tellerne på enheten og tjeneren forblir synkronisert, vil kodene samsvare og gi deg tilgang.

Tenk på HOTP som et hefte med nummererte kuponger som du river av og bruker i rekkefølge. En brukt kupong kan ikke brukes på nytt, og du må bruke den neste. HOTP-tellersystemet fungerer på lignende måte.

HOTP-autentisering vs. andre OTP-er

HOTP vs. OTP

Engangspassord (OTP) er et bredt begrep for de ulike engangspassordene vi bruker til 2FA. HOTP er en spesifikk type OTP som baserer seg på et tellerbasert system for å generere kodene sine.

HOTP vs. TOTP

Tidsbaserte engangspassord (TOTP) genererer automatisk en ny kode hvert 30. til 60. sekund. Det vanligste eksempelet på TOTP er kodene som genereres av autentiseringsapper. HOTP genererer derimot en ny kode kun på forespørsel, ved å bruke en teller i stedet for en tidsmåler.

Denne forskjellen påvirker sikkerheten til hver enkelt OTP-metode. Den raske utløpsdatoen til TOTP gir angripere et svært lite tidsvindu. Motsatt kan HOTP-koder forbli gyldige i dager og til og med uker.

HOTP er imidlertid mer pålitelig i situasjoner der enheter har upålitelige klokker. For eksempel utstyr på avsidesliggende plasseringer med svake internettilkoblinger.

HOTP vs. SMS- og e-postkoder

OTP-koder som sendes via SMS og e-post er utsatt for avlytting fordi de må reise over mobil- og internettnettverk. HOTP genererer koder på enheten, noe som gjør det mer sikkert samtidig som det gir stabil tilgang selv under nettverksforstyrrelser.

Hva er fordelene og begrensningene med HOTP?

Fordelene med HOTP-autentisering

Det er flere fordeler med å bruke HOTP som din foretrukne OTP-metode:

  • Fungerer frakoblet: HOTP kan fungere frakoblet, noe som gjør det ideelt for plasseringer med begrenset internettilgang.
  • Ikke noe tidspress: HOTP-koder utløper ikke automatisk, så du kan bruke den tiden du trenger på å angi koden.
  • Anerkjent algoritme: HOTP er definert av RFC 4226(nytt vindu), noe som sikrer kompatibilitet på tvers av programvareleverandører og maskinvaretokener fra ulike produsenter.
  • Færre avhengigheter: HOTPs tellerbaserte system er ikke avhengig av nøyaktige klokker eller kontinuerlig tilkobling, noe som kan gjøre det mer forutsigbart i visse miljøer.

Begrensningene ved HOTP-autentisering

Som med alle teknologier, følger det noen viktige hensyn med HOTP:

  • Ubegrenset gyldighet: HOTP-koder kan forbli aktive på ubestemt tid hvis det ikke genereres nye koder. Dette gir angripere mer tid til å utnytte stjålne koder.
  • Tellersynkronisering: Hvis du genererer koder uten å bruke dem, kan tellerne på enheten din og tjeneren komme ut av synk, noe som fører til autentiseringsfeil.
  • Manuell administrering: Siden koder ikke utløper automatisk, må du huske å generere nye koder etter hver bruk.

Ta et skritt mot sterkere passordsikkerhet

Selv om HOTP kanskje ikke tilbyr sikkerhetsfordelen med automatisk utløpsdato eller bekvemmeligheten med SMS-koder, byr det tellerbaserte systemet på unike fordeler. Det er et velprøvd 2FA-system med pålitelig frakoblet tilgang, og fraværet av tidspress kan gjøre at enkelte foretrekker det.
For å enkelt administrere passordene dine og 2FA-kodene på én kryptert plassering, kan du vurdere å bruke Proton Pass. Vår sikre passordapp med en integrert 2FA-autentisering holder all påloggingsinformasjon og alle 2FA-koder beskyttet med full ende-til-ende-kryptering. Det har aldri vært enklere å holde det digitale livet ditt sikkert og praktisk.