Prawdopodobnie zdarzyło Ci się już wpisywać sześciocyfrowy kod z aplikacji uwierzytelniającej podczas logowania się online. Jest on znany jako hasło jednorazowe oparte na czasie (TOTP) i stanowi niezwykle prosty sposób na zwiększenie bezpieczeństwa Twoich kont online.

Dzięki temu, że kody te szybko wygasają (już po 30 do 60 sekundach), sprawiają, że uzyskanie dostępu do Twojego konta przez cyberprzestępców jest niemal niemożliwe, nawet jeśli uda im się ukraść Twoje hasła. Przyjrzymy się bliżej temu, czym są kody TOTP, jak działają i jak wypada ich porównanie z innymi metodami uwierzytelniania.

Co to jest TOTP?

TOTP to rodzaj hasła jednorazowego (OTP), które generuje tymczasowe kody, wykorzystując czas jako kluczowy element. Kody te zmieniają się co 30 do 60 sekund, przez co są niezwykle trudne do przejęcia przez cyberprzestępców. W mało prawdopodobnym przypadku, gdyby w jakiś sposób poznali Twój kod, jego krótki czas ważności sprawia, że staje się on niemal bezużyteczny dla atakującego.

TOTP to metoda uwierzytelniania dwustopniowego (2FA), która dodaje dodatkową warstwę zabezpieczeń do Twojej nazwy użytkownika i hasła. Jest wygodna w użyciu — wystarczy wygenerować kod w aplikacji uwierzytelniającej — a jej oparty na czasie charakter sprawia, że jest bardzo bezpieczna.

Jak działa TOTP?

Mówiąc najprościej, TOTP działa poprzez udostępnienie tajnego klucza między usługą, którą chronisz, a Twoją aplikacją TOTP.

Gdy włączysz 2FA, skanujesz kod QR, aby udostępnić tajny klucz aplikacji uwierzytelniającej TOTP. Aplikacje TOTP są bezpłatne, a do najpopularniejszych należą Google Authenticator i Microsoft Authenticator. Jeśli korzystasz z bezpiecznego menadżera haseł, może on posiadać zintegrowane narzędzie uwierzytelniające 2FA, które generuje kody TOTP. Proton Pass to właśnie taki menadżer haseł — przechowuje Twoje hasła w bezpieczny sposób i generuje kody 2FA, a to wszystko w ramach jednej aplikacji.

Po zakończeniu wstępnej konfiguracji usługa, do której się logujesz, oraz aplikacja uwierzytelniająca synchronizują się, aby niezależnie i w tym samym czasie obliczyć ten sam kod przy użyciu tajnego klucza. Podczas logowania pojawi się prośba o wpisanie kodu 2FA. Jeśli kod usługi będzie zgodny z tym, który wpiszesz, zalogujesz się.

Różnice między TOTP a innymi hasłami jednorazowymi

TOTP to tylko jedna z kilku metod haseł jednorazowych (OTP). Oto krótkie podsumowanie tego, jak TOTP wypada na ich tle. Możesz również zapoznać się z bardziej szczegółowym przewodnikiem o różnicach między TOTP, OTP i HOTP.

TOTP a OTP

OTP to ogólne określenie na hasła jednorazowe. TOTP to rodzaj OTP, który wykorzystuje model oparty na czasie do generowania kodów OTP. Wszystkie kody TOTP są kodami OTP, ale istnieją również inne metody OTP. Należą do nich kody SMS i kody przesyłane w wiadomościach e-mail, a także HOTP. Każda metoda ma inny sposób generowania i dostarczania kodu OTP.

TOTP a HOTP

Jednorazowe hasła oparte na HMAC (HOTP) generują nowy kod OTP tylko na żądanie. Oznacza to, że każdy kod jest ważny do momentu wygenerowania nowego, co czyni je bardziej podatnymi na zagrożenia. Kody TOTP odświeżają się automatycznie po 30 do 60 sekundach, więc atakujący mają mniej czasu na użycie skradzionych kodów.

TOTP a kody SMS i wiadomości e-mail

Kody SMS i wiadomości e-mail są dostarczane przez sieci komórkowe i internetowe, co czyni je podatnymi na przechwycenie. Jeśli korzystasz ze słabo zabezpieczonych sieci lub takich o zagrożonym bezpieczeństwie, atakujący mogą śledzić Twoją aktywność i przechwycić Twoje kody OTP. Dla porównania, kody TOTP są generowane na urządzeniu i nie są przesyłane przez żadną sieć, co czyni je bardziej bezpiecznymi.

Zalety TOTP pod względem bezpieczeństwa

Korzystanie z TOTP jako preferowanej metody OTP niesie za sobą kilka korzyści związanych z bezpieczeństwem.

  • Kody o ograniczonej ważności: kody TOTP wygasają w ciągu 30 do 60 sekund, zanim zostanie wygenerowany nowy kod. Daje to atakującym niezwykle mało czasu na użycie skradzionych kodów TOTP, ponieważ wygasłe kody nie mogą zostać użyte ponownie.
  • Odporność na przechwycenie: kody TOTP są generowane na urządzeniu. Nie są one przesyłane przez sieci, w których mogłyby zostać przechwycone z powodu słabych zabezpieczeń sieciowych.
  • Ochrona przed wyciekami danych: jeśli Twoje hasło zostanie ujawnione w wyniku wycieku danych, kody TOTP stanowią dodatkową barierę chroniącą przed nieautoryzowanym logowaniem. Atakujący nie mogą uzyskać dostępu do Twojego konta bez Twojej aplikacji uwierzytelniającej.
  • Działa na każdym smartfonie: TOTP działa bezpośrednio na Twoim smartfonie — nie musisz kupować fizycznego tokena zabezpieczającego. Wystarczy pobrać aplikację uwierzytelniającą na swoje urządzenie i gotowe.

TOTP oferuje doskonałe bezpieczeństwo, ale nie jest to rozwiązanie idealne. Utrata urządzenia może zablokować Ci dostęp do kont, dlatego zawsze zapisuj kody zapasowe. Upewnij się również, że zegar Twojego urządzenia automatycznie synchronizuje się z internetem, ponieważ niepoprawne ustawienia czasu są częstą przyczyną problemów z działaniem TOTP.

Zabezpiecz swoje konta za pomocą TOTP

TOTP zwiększa bezpieczeństwo Twojego konta dzięki kodom opartym na czasie, które przewyższają inne metody OTP. Zarządzanie wieloma hasłami i kodami 2FA nie musi być uciążliwe — wystarczy użyć Proton Pass, menadżera haseł ze zintegrowanym narzędziem uwierzytelniającym TOTP.

Proton Pass łączy przechowywanie i generowanie haseł z narzędziem uwierzytelniającym 2FA, co eliminuje konieczność przełączania aplikacji podczas logowania oraz pobierania dodatkowych programów. Oszczędza to cenną przestrzeń dyskową i sprawia, że logowanie z 2FA jest bezproblemowe. Wszystko, co przechowujesz w Proton Pass, w tym generowane kody, jest chronione przez silne szyfrowanie end-to-end.

Wejdź na wyższy poziom bezpieczeństwa logowania — włącz TOTP dla swoich kont i przechowuj wszystkie swoje hasła w Proton Pass już dziś.