Autentiseringsapper, maskinvaretokens og SMS-koder er vanlige autentiseringsmetoder du støter på når du konfigurerer tofaktorautentisering (2FA). Alle disse baserer seg på engangspassord (OTP). TOTP og HOTP er to standardiserte typer OTP-er, mens SMS- og e-postkoder er andre vanlige leveringsmetoder for OTP. Selv om de i bunn og grunn tjener det samme grunnleggende formålet, er implementeringene forskjellige, noe som gir dem unike fordeler og begrensninger. I denne artikkelen skal vi ta for oss HOTP vs. TOTP vs. OTP, og forklare hvilket alternativ som er mest fornuftig for ulike bruksområder.
Forstå HOTP, TOTP og OTP
Engangspassord (OTP)
OTP-er er midlertidige koder, noen ganger referert til som engangspassord eller 2FA-koder, som bare brukes én gang. De erstatter ikke passord, men gir i stedet et ekstra lag med sikkerhet. OTP-er brukes ofte i bankapplikasjoner for identitetsbekreftelse ved pålogging eller når du konfigurerer en nettbasert konto.
Merk: OTP er samlebegrepet for ulike former for engangspassord, inkludert TOTP, HOTP og e-post/SMS.
Tidsbasert engangspassord (TOTP)
TOTP-koder er vanligvis 6-sifrede koder generert av autentiseringsapper. De er gyldige i rundt 30 sekunder (noen ganger opptil 60 sekunder, avhengig av tjenesten). Når en kode utløper, fungerer den ikke lenger, og en ny genereres. Det at TOTP er tidsbasert gjør det svært sikkert, ettersom det begrenser tidsrommet en angriper har til å bruke en eventuell stjålet kode.
HMAC-basert engangspassord (HOTP)
HOTP-er finnes vanligvis i maskinvare-token som YubiKeys, og er avhengige av et tellerbasert system for å generere koder. Dette systemet fungerer på samme måte som et hefte med nummererte kuponger – det er en løpende rekkefølge av koder som matches mot systemet. Så lenge maskinvare-tokenet og applikasjonstjeneren forblir synkronisert, får du tilgang.
I motsetning til TOTP, utløper ikke HOTP-koder på tid. De forblir gyldige til du bruker dem eller genererer en ny kode. Dette gjør dem ideelle for frakoblede situasjoner, men det betyr også at hvis du genererer en kode og ikke bruker den, forblir den en gyldig nøkkel som en angriper kan finne og bruke.
HOTP, TOTP og OTP: Viktige forskjeller
Både TOTP og HOTP er typer OTP-er med ulike genereringsmetoder. Hvis du for eksempel sammenligner TOTP med OTP, sammenligner du sannsynligvis de tidsbaserte kodene fra autentiseringsapper med generelle OTP-metoder som SMS- og e-postkoder.
| SMS-/e-postkoder | TOTP | HOTP | |
| Kodegyldighet | Varierer (minutter til timer) | 30 til 60 sekunder | Til en ny kode genereres |
| Sikkerhet* | Lav | Høy | Moderat |
| Oppsettskompleksitet | Ingen | Lav | Moderat |
| Krav til aktivt nettverk | Ja | Nei | Nei |
| Ekstra maskinvare | Ingen | Ingen | Maskinvare-token |
*Sikkerhetsnivå basert på tidsvinduer for kodegyldighet og risiko for avskjæring.
Sikkerhet
HOTP, TOTP og OTP tilbyr ulike sikkerhetsnivåer, der de viktigste hensynene er eksponeringstid og overføringsmetode.
TOTP tilbyr generelt sterkere sikkerhet enn SMS- eller e-postkoder, ettersom koder genereres på enheten og har kort gyldighet. Hvis angripere på en eller annen måte får tak i TOTP-koden din, blir den ubrukelig.
HOTP er bygget på et kryptografisk fundament, noe som gir solid sikkerhet. Men fordi HOTP-koder ikke utløper på tid, kan de potensielt lange gyldighetsvinduene gjøre stjålne koder til en sårbarhet.
SMS- og e-postkoder er de minst sikre i gruppen. De sendes over nettverk som kan avskjæres eller omdirigeres, noe som gjør dem mer sårbare for SIM-bytte eller nettfiskingsangrep..
Merk: Ingen OTP-metode er immun mot sosial manipulering, som nettfisking. Det er viktig å vite hvordan du oppdager nettfisking for å beskytte deg ordentlig.
| SMS-/e-postkoder | TOTP | HOTP |
| Utsatt for avskjæring på grunn av krav til aktivt nettverk | Minimalt med tid for angripere til å utnytte stjålne koder | Lang gyldighet gir utvidede angrepsmuligheter |
| Ukrypterte plattformer gjør det lettere å stjele koder | Lavere risiko for avskjæring, ettersom kodene genereres på enheten | Solid sikkerhet bygget på et kryptografisk fundament |
Brukeropplevelse
Oppsettskompleksitet, tidspress og pålitelighet påvirker brukeropplevelsen for de tre metodene.
TOTP er pålitelig og praktisk. Oppsettet er enkelt (ofte bare skanning av en QR-kode), og koder genereres selv uten et aktivt nettverk. Den korte utløpstiden for koden skaper imidlertid et tidspress, noe som kan føre til frustrasjon for tregere brukere eller de som administrerer flere kontoer.
HOTP er til sammenligning mye mer avslappet, uten noen tidsbegrensninger. Oppsettet er imidlertid langt mer komplekst, og kan kreve kjøp av ekstra maskinvare.
SMS- og e-postkoder krever minst innsats, helt uten oppsett, men de er avhengige av nettverkstilkobling, noe som kan føre til forsinkelser ved driftsavbrudd eller forstyrrelser.
| SMS-/e-postkoder | TOTP | HOTP |
| Ikke behov for oppsett | Enkelt oppsett via QR-kode med en 2FA-autentiseringsapp | Komplekst oppsett, kan kreve ekstra maskinvare |
| Litt tidspress, der noen koder utløper om noen timer | Tidspress kan forårsake frustrasjon | Ikke noe tidspress |
| Helt avhengig av et aktivt nettverk for levering av koder | Fungerer pålitelig selv uten nettverkstilkobling | Fungerer frakoblet, men synkroniseringsproblemer kan oppstå |
Begrensninger
De unike begrensningene ved hver metode vil påvirke hvordan og når du bruker dem. SMS- og e-postkoder fungerer med de eksisterende enhetene dine, men det at de er avhengige av nettverks- og internettilkoblingen din, kan føre til forsinkelser i leveringen av koden, noe som til og med kan vare lenger enn gyldigheten.
TOTP krever ikke nettverkstilkobling for å generere koder, men krever at smarttelefonen din er tidssynkronisert med tjeneren for at koden din skal fungere. Den beste måten å sikre dette på er å la enhetens klokke synkroniseres automatisk med internett. På denne måten forblir tidssynkroniseringen på plass når du reiser.
Med HOTP kan det å generere nye koder i frakoblet modus være fordelaktig når nettverkstilkoblingen er dårlig. Dette er imidlertid et tveegget sverd. Generering av koder på nytt uten å bruke dem kan føre til at enheten din kommer ut av synk med tjeneren, noe som skaper autentiseringsfeil. I tillegg legger den manuelle genereringen som kreves med HOTP, et stort sikkerhetsansvar på brukeren.
| SMS-/e-postkoder | TOTP | HOTP |
| Områder med dårlig nettverk kan føre til betydelige forsinkelser i levering av koder | Enhetens tid må være synkronisert med tjenerens tid, selv når du reiser | Kan komme ut av synkronisering hvis det genereres for mange koder som ikke blir brukt |
Hvilken OTP-metode bør du bruke?
Det korte svaret er at TOTP er den beste standarden for de fleste, mens HOTP dekker spesifikke frakoblede behov. Begge er overlegne SMS.
Selv om individuelle behov varierer, virker TOTP å være det mest balanserte valget i de fleste situasjoner. Den tidsbaserte egenskapen gir et ekstra sikkerhetslag, og smarttelefontilgjengelighet gjør det til et praktisk og sikkert valg for kontoene du regelmessig har tilgang til. Men for enda sterkere beskyttelse mot nettfisking, går maskinvarebaserte metoder som FIDO2/passnøkler lenger enn noen OTP-metode.
Lagre passord og generer OTP-er på en sikker måte
Det kan være strevsomt å administrere passord og TOTP-autentiseringskoder – konstant bytting mellom apper under pålogginger reduserer den allerede begrensede tiden du har til å angi koder. Proton Pass er en sikker passordapp som reduserer denne friksjonen med vår integrerte 2FA-funksjonalitet (TOTP). Få tilgang til passordene dine, 2FA-koder og mer fra ett sikkert, kryptert hvelv.
