Als u wel eens een hardware-token heeft gebruikt om digitale banktransacties goed te keuren of op een YubiKey heeft getikt om een inlogcode te genereren, heeft u gebruikgemaakt van op HMAC gebaseerde eenmalige wachtwoordtechnologie (HOTP). Om u te helpen begrijpen hoe u HOTP kunt gebruiken om uw accounts te beschermen, onderzoeken we hoe HOTP werkt, wat de voordelen en beperkingen ervan zijn, en vergelijken we het met andere OTP-methoden.
Wat is HOTP?
HOTP staat voor op HMAC gebaseerd eenmalig wachtwoord. Het is een methode voor tweestapsverificatie (2FA) die op aanvraag inlogcodes voor eenmalig gebruik genereert.
HMAC, of Hash-based Message Authentication Code, is een cryptografische techniek die gebruikmaakt van een geheime sleutel en een hashfunctie om een veilige, fraudebestendige waarde te produceren. HOTP past HMAC toe in combinatie met een teller om ervoor te zorgen dat elke verificatiecode uniek is en slechts één keer kan worden gebruikt.
Omdat HOTP-codes geldig blijven totdat ze worden gebruikt of vervangen, zijn ze zeer geschikt voor werken op afstand en andere omgevingen waar betrouwbare tijdsynchronisatie of een constante verbinding niet mogelijk is.
Hoe werkt HOTP?
HOTP-verificatie is gebaseerd op twee gedeelde componenten: een geheime sleutel en een teller. Zowel het apparaat van de gebruiker als de verificatieserver slaan deze waarden op en gebruiken ze om onafhankelijk van elkaar dezelfde eenmalige code te genereren.
Setup: Wanneer een hardware-token wordt ingesteld, wordt er een geheime sleutel gedeeld tussen het apparaat en de toepassingsserver en aan beide kanten veilig opgeslagen.
Een code genereren: Het apparaat maakt gebruik van een cryptografische hashfunctie genaamd HMAC om de geheime sleutel te combineren met de huidige tellerwaarde. Het resultaat is een kort, onvoorspelbaar eenmalig wachtwoord.
Verificatie: Wanneer u de HOTP-code invoert, voert de server dezelfde berekening uit met behulp van zijn eigen kopie van de geheime sleutel en teller. Als de codes overeenkomen, wordt toegang verleend.
Het HOTP-tellersysteem uitgelegd
HOTP vertrouwt op een uniek tellersysteem dat wordt gedeeld tussen uw apparaat en de verificatieserver. Elke keer dat u een nieuwe code genereert, loopt de teller op. Na een succesvolle aanmelding updatet de server zijn teller ook. Zolang de tellers van het apparaat en de server synchroon lopen, komen de codes overeen en krijgt u toegang.
Zie HOTP als een boekje met genummerde bonnen die u afscheurt en op volgorde gebruikt. Een gebruikte bon kan niet opnieuw worden gebruikt en u moet de volgende gebruiken. Het HOTP-tellersysteem werkt op vergelijkbare wijze.
HOTP-verificatie vs. andere OTP’s
HOTP vs. OTP
Eenmalige wachtwoorden (OTP) is een brede term voor de verschillende wachtwoorden voor eenmalig gebruik die we gebruiken voor 2FA. HOTP is een specifiek type OTP dat vertrouwt op een op een teller gebaseerd systeem om de codes te genereren.
HOTP vs. TOTP
Tijdsgebonden eenmalige wachtwoorden (TOTP) genereren automatisch elke 30 tot 60 seconden een nieuwe code. Het meest voorkomende voorbeeld van TOTP zijn de codes die worden gegenereerd door authenticatie-apps. HOTP daarentegen genereert alleen een nieuwe code wanneer daarom wordt gevraagd, waarbij gebruik wordt gemaakt van een teller in plaats van een timer.
Dit verschil heeft invloed op de beveiliging van elke OTP-methode. De snelle verloopdatum van TOTP geeft aanvallers slechts een zeer kort tijdsbestek om toe te slaan. Omgekeerd kunnen HOTP-codes dagen en zelfs weken geldig blijven.
HOTP is echter betrouwbaarder in situaties waarin apparaten onbetrouwbare klokken hebben. Bijvoorbeeld apparatuur op afgelegen locaties met zwakke internetverbindingen.
HOTP vs. SMS- en e-mailcodes
OTP-codes die via SMS en e-mail worden verzonden, zijn gevoelig voor onderschepping omdat ze via mobiele netwerken en internetnetwerken moeten reizen. HOTP genereert codes op het apparaat zelf, wat het veiliger maakt en consistente toegang biedt, zelfs tijdens netwerkstoringen.
Wat zijn de voordelen en beperkingen van HOTP?
De voordelen van HOTP-verificatie
Er zijn verschillende voordelen verbonden aan het gebruik van HOTP als uw favoriete OTP-methode:
- Werkt offline: HOTP kan offline functioneren, waardoor het ideaal is voor locaties met beperkte internettoegang.
- Geen tijdsdruk: HOTP-codes verlopen niet automatisch, dus u kunt rustig de tijd nemen om de code in te voeren.
- Erkend algoritme: HOTP wordt gedefinieerd door RFC 4226(nieuw venster), wat zorgt voor compatibiliteit tussen softwareleveranciers en hardwaretokens van verschillende aanbieders.
- Minder afhankelijkheden: het op een teller gebaseerde systeem van HOTP is niet afhankelijk van nauwkeurige klokken of continue connectiviteit, wat het in bepaalde omgevingen voorspelbaarder kan maken.
De beperkingen van HOTP-verificatie
Zoals bij alle technologieën brengt HOTP enkele belangrijke overwegingen met zich mee:
- Onbeperkte geldigheid: HOTP-codes kunnen onbeperkt actief blijven als er geen nieuwe codes worden gegenereerd. Dit geeft aanvallers meer tijd om gestolen codes te misbruiken.
- Tellersynchronisatie: als u codes genereert zonder deze te gebruiken, kunnen de tellers van uw apparaat en server uit de pas gaan lopen, wat leidt tot verificatiefouten.
- Handmatig beheer: aangezien codes niet automatisch verlopen, moet u er zelf aan denken om na elk gebruik een nieuwe code te genereren.
Zet een stap in de richting van een sterkere wachtwoordbeveiliging
Hoewel HOTP misschien niet het beveiligingsvoordeel van een automatische verloopdatum of het gemak van SMS-codes biedt, heeft het op een teller gebaseerde systeem unieke voordelen. Het is een beproefd 2FA-systeem met betrouwbare offline toegang, en het ontbreken van tijdsdruk kan voor sommigen de voorkeur hebben.
Om uw wachtwoorden en 2FA-codes eenvoudig op één versleutelde locatie te beheren, kunt u overwegen om Proton Pass te gebruiken. Onze beveiligde wachtwoordbeheerder met een geïntegreerde 2FA-authenticator houdt al uw inloggegevens en 2FA-codes beschermd met volledige end-to-end versleuteling. Het beveiligen en vergemakkelijken van uw digitale leven was nog nooit zo eenvoudig.
