Authenticatie-apps, hardware-tokens en sms-codes zijn veelvoorkomende verificatiemethoden die u tegenkomt bij het instellen van tweestapsverificatie (2FA). Ze maken allemaal gebruik van eenmalige wachtwoorden (OTP). TOTP en HOTP zijn twee gestandaardiseerde typen OTP’s, terwijl sms- en e-mailcodes andere veelvoorkomende methoden zijn om OTP’s te ontvangen. Hoewel ze in wezen hetzelfde basisdoel dienen, verschillen de implementaties ervan, wat unieke voordelen en beperkingen met zich meebrengt. In dit artikel vergelijken we HOTP vs. TOTP vs. OTP en leggen we uit welke optie het meest logisch is voor verschillende situaties.
HOTP, TOTP en OTP begrijpen
Eenmalig wachtwoord (OTP)
OTP’s zijn tijdelijke codes, soms ook wel eenmalige wachtwoorden of 2FA-codes genoemd, die slechts eenmaal worden gebruikt. Ze vervangen wachtwoorden niet; in plaats daarvan bieden ze een extra beveiligingslaag. OTP’s worden veel gebruikt in banktoepassingen voor identiteitsverificatie tijdens het inloggen of bij het instellen van een online account.
Opmerking: OTP is de overkoepelende term voor verschillende vormen van eenmalige wachtwoorden, waaronder TOTP, HOTP en e-mail/sms.
Tijdgebaseerd eenmalig wachtwoord (TOTP)
TOTP-codes zijn doorgaans 6-cijferige codes die worden gegenereerd door authenticatie-apps. Ze zijn ongeveer 30 seconden geldig (soms tot 60 seconden, afhankelijk van de service). Wanneer een code verloopt, is deze niet meer bruikbaar en wordt er een nieuwe gegenereerd. Het tijdgebaseerde karakter van TOTP maakt het zeer veilig, omdat het de tijdspanne voor aanvallers om een gestolen code te gebruiken beperkt.
HMAC-gebaseerd eenmalig wachtwoord (HOTP)
HOTP’s worden vaak aangetroffen in hardwaretokens zoals YubiKeys en vertrouwen op een op tellers gebaseerd systeem om codes te genereren. Dit systeem werkt op vergelijkbare wijze als een boekje met genummerde vouchers — er is een doorlopende volgorde van codes die met het systeem wordt vergeleken. Zolang de hardwaretoken en de toepassingsserver gesynchroniseerd blijven, krijgt u toegang.
In tegenstelling tot TOTP verlopen HOTP-codes niet via een timer. Ze blijven geldig totdat u ze gebruikt of een nieuwe code genereert. Dit maakt het ideaal voor offline scenario’s, maar het betekent ook dat als u een code genereert en deze niet gebruikt, deze een geldige sleutel blijft die een aanvaller zou kunnen vinden en gebruiken.
HOTP, TOTP en OTP: Belangrijkste verschillen
TOTP en HOTP zijn beide typen OTP’s met verschillende generatiemethoden. Als u bijvoorbeeld TOTP met OTP vergelijkt, vergelijkt u waarschijnlijk de tijdgebonden codes van authenticatie-apps met algemene OTP-methoden zoals SMS- en e-mailcodes.
| SMS-/e-mailcodes | TOTP | HOTP | |
| Geldigheid code | Varieert (minuten tot uren) | 30 tot 60 seconden | Totdat er een nieuwe code wordt gegenereerd |
| Beveiliging* | Laag | Hoog | Matig |
| Complexiteit van de setup | Geen | Laag | Matig |
| Vereiste voor actief netwerk | Ja | Nee | Nee |
| Extra hardware | Geen | Geen | Hardwaretoken |
*Beveiligingsniveau gebaseerd op de geldigheidsduur van codes en het risico op onderschepping.
Beveiliging
HOTP, TOTP en OTP bieden verschillende beveiligingsniveaus, waarbij de blootstellingstijd en de transmissiemethode de belangrijkste overwegingen zijn.
TOTP biedt over het algemeen een betere beveiliging dan SMS- of e-mailcodes, omdat codes op het apparaat zelf worden gegenereerd en een korte geldigheid hebben. Als aanvallers op de een of andere manier uw TOTP-code in handen krijgen, wordt deze onbruikbaar.
HOTP is gebouwd op een cryptografische basis en biedt een solide beveiliging. Omdat HOTP-codes echter niet via een timer verlopen, kunnen de potentieel lange geldigheidsperioden ervoor zorgen dat gestolen codes een kwetsbaarheid vormen.
SMS- en e-mailcodes zijn het minst veilig van allemaal. Ze reizen over netwerken die kunnen worden onderschept of omgeleid, waardoor ze kwetsbaarder zijn voor simswap- of phishingaanvallen..
Opmerking: Geen enkele OTP-methode is immuun voor social engineering-aanvallen, zoals phishing. Het is belangrijk om te weten hoe u phishing herkent om uzelf goed te verdedigen.
| SMS-/e-mailcodes | TOTP | HOTP |
| Gevoelig voor onderschepping vanwege vereisten voor een actief netwerk | Minimale tijd voor aanvallers om gestolen codes te misbruiken | Lange geldigheid biedt meer mogelijkheden voor aanvallen |
| Niet-versleutelde platforms maken het gemakkelijker om codes te stelen | Lager risico op onderschepping, aangezien codes op het apparaat zelf worden gegenereerd | Solide beveiliging gebouwd op een cryptografische basis |
Gebruikerservaring
Setup-complexiteit, tijdsdruk en betrouwbaarheid beïnvloeden de gebruikerservaring van de drie methoden.
TOTP is betrouwbaar en handig. De setup is eenvoudig (vaak gewoon een QR-codescan) en codes worden zelfs gegenereerd zonder een actief netwerk. De korte vervaltijd van de code zorgt echter voor tijdsdruk, wat frustratie kan veroorzaken voor tragere gebruikers of gebruikers die meerdere accounts beheren.
HOTP is in vergelijking veel meer ontspannen, zonder tijdsbeperkingen. De setup is echter veel complexer en vereist mogelijk de aanschaf van extra hardware.
SMS- en e-mailcodes zijn het meest moeiteloos, zonder setup, maar ze zijn afhankelijk van een netwerkverbinding, wat vertragingen kan veroorzaken tijdens storingen of onderbrekingen.
| SMS-/e-mailcodes | TOTP | HOTP |
| Geen setup vereist | Eenvoudige setup via QR-code met een 2FA-authenticator | Complexe setup, vereist mogelijk extra hardware |
| Lichte tijdsdruk, waarbij sommige codes na een paar uur verlopen | Tijdsdruk kan frustratie veroorzaken | Geen tijdsdruk |
| Volledig afhankelijk van een actief netwerk voor de levering van de code | Werkt betrouwbaar, zelfs zonder netwerkverbinding | Werkt offline, maar er kunnen synchronisatieproblemen optreden |
Beperkingen
De unieke beperkingen van elke methode zijn van invloed op hoe en wanneer u ze gebruikt. SMS- en e-mailcodes werken met uw bestaande apparaten, maar de afhankelijkheid van uw netwerk- en internetverbindingen kan vertragingen in de codelevering veroorzaken die zelfs langer kunnen duren dan de geldigheid ervan.
TOTP vereist geen netwerkverbinding om codes te genereren, maar het vereist wel dat uw smartphone in de tijd gesynchroniseerd is met de server om uw code te laten werken. De beste manier om dit te garanderen, is door de klok van uw apparaat automatisch te laten synchroniseren met het internet. Zo blijft de tijdsynchronisatie behouden wanneer u reist.
Met HOTP kan het offline genereren van nieuwe codes nuttig zijn wanneer de netwerkverbinding slecht is. Dit is echter een tweesnijdend zwaard. Het opnieuw genereren van codes zonder ze te gebruiken kan ertoe leiden dat uw apparaat niet meer synchroon loopt met de server, wat tot verificatiefouten kan leiden. Bovendien legt de handmatige regeneratie die bij HOTP vereist is, een grote verantwoordelijkheid voor de beveiliging bij de gebruiker.
| SMS-/e-mailcodes | TOTP | HOTP |
| Gebieden met een slecht netwerk kunnen aanzienlijke vertragingen in de codelevering veroorzaken | De apparaattijd moet synchroon lopen met de servertijd, zelfs tijdens het reizen | Kan asynchroon raken als er te veel codes worden gegenereerd maar niet worden gebruikt |
Welke OTP-methode moet u gebruiken?
Het korte antwoord is dat TOTP de beste standaard is voor de meeste mensen, terwijl HOTP dient voor specifieke offline behoeften. Beide zijn superieur aan SMS.
Hoewel individuele behoeften variëren, lijkt TOTP in de meeste situaties de meer evenwichtige keuze te zijn. Het tijdgebonden karakter biedt een extra beveiligingslaag, en de toegankelijkheid via de smartphone maakt het een handige en veilige keuze voor de accounts waartoe u regelmatig toegang heeft. Maar voor een nog sterkere bescherming tegen phishing gaan hardwaregebaseerde methoden zoals FIDO2/passkeys verder dan welke OTP-methode dan ook.
Wachtwoorden veilig opslaan en OTP’s genereren
Het beheren van wachtwoorden en TOTP-verificatiecodes kan een gedoe zijn — het voortdurend schakelen tussen apps tijdens het inloggen vermindert de toch al beperkte tijd die u heeft om codes in te voeren. Proton Pass is een veilige wachtwoordbeheerder die deze frictie vermindert met onze geïntegreerde 2FA-functionaliteit (TOTP). Krijg toegang tot uw wachtwoorden, 2FA-codes en meer vanuit één veilige, versleutelde kluis.
