Se alguma vez utilizou um token físico para aprovar transações bancárias digitais ou tocou numa YubiKey para gerar um código de início de sessão, já utilizou a tecnologia de palavra-passe de utilização única baseada em HMAC (HOTP). Para o ajudar a compreender como pode utilizar o HOTP para proteger as suas contas, vamos explorar como o HOTP funciona, as suas vantagens e limitações, e compará-lo com outros métodos de OTP.
O que é o HOTP?
HOTP significa palavra-passe de utilização única baseada em HMAC. É um método de autenticação de dois fatores (2FA) que gera códigos de início de sessão de utilização única a pedido.
O HMAC, ou Código de Autenticação de Mensagem Baseado em Hash, é uma técnica criptográfica que utiliza uma chave secreta e uma função de hash para produzir um valor seguro e inviolável. O HOTP aplica o HMAC em conjunto com um contador para garantir que cada código de autenticação é único e só pode ser utilizado uma vez.
Como os códigos HOTP permanecem válidos até serem utilizados ou substituídos, são adequados para o trabalho remoto e outros ambientes onde a sincronização de tempo fiável ou a conectividade constante não são possíveis.
Como funciona o HOTP?
A autenticação HOTP baseia-se em dois componentes partilhados: uma chave secreta e um contador. Tanto o dispositivo do utilizador como o servidor de autenticação armazenam estes valores e utilizam-nos para gerar de forma independente o mesmo código de utilização única.
Configuração: quando um token físico é configurado, é partilhada uma chave secreta entre o dispositivo e o servidor da aplicação, sendo armazenada de forma segura em ambos os lados.
Gerar um código: o dispositivo utiliza uma função de hash criptográfica chamada HMAC para combinar a chave secreta com o valor do contador atual. O resultado é uma palavra-passe de utilização única curta e imprevisível.
Autenticação: quando introduz o código HOTP, o servidor efetua o mesmo cálculo utilizando a sua própria cópia da chave secreta e do contador. Se os códigos coincidirem, o acesso é concedido.
Explicação sobre o sistema de contador HOTP
O HOTP depende de um sistema de contador único partilhado entre o seu dispositivo e o servidor de autenticação. Cada vez que gera um novo código, o contador aumenta. Após um início de sessão bem-sucedido, o servidor também atualiza o seu contador. Desde que os contadores do dispositivo e do servidor permaneçam sincronizados, os códigos coincidirão e conceder-lhe-ão acesso.
Pense no HOTP como um livro de vales numerados que destaca e utiliza em sequência. Um vale utilizado não pode ser reutilizado e tem de utilizar o seguinte. O sistema de contador HOTP funciona de forma semelhante.
Autenticação HOTP vs. outros OTP
HOTP vs. OTP
Palavras-passe de utilização única (OTP) é um termo genérico para as várias palavras-passe de utilização única que utilizamos para a 2FA. O HOTP é um tipo específico de OTP que depende de um sistema baseado em contadores para gerar os seus códigos.
HOTP vs. TOTP
As palavras-passe de utilização única baseadas no tempo (TOTP) geram automaticamente um novo código a cada 30 a 60 segundos. O exemplo mais comum de TOTP são os códigos gerados por aplicações de autenticação. O HOTP, pelo contrário, gera um novo código apenas quando solicitado, utilizando um contador em vez de um temporizador.
Esta diferença afeta a segurança de cada método OTP. A rápida expiração do TOTP dá aos atacantes uma janela de oportunidade muito reduzida. Por outro lado, os códigos HOTP podem permanecer válidos por dias e até semanas.
No entanto, o HOTP é mais fiável em situações em que os dispositivos têm relógios pouco fiáveis. Por exemplo, equipamentos em localizações remotas com ligações de internet fracas.
HOTP vs. códigos de SMS e e-mail
Os códigos OTP enviados por SMS e e-mail são suscetíveis de interceção porque têm de viajar através de redes celulares e de internet. O HOTP gera códigos no dispositivo, tornando-o mais seguro e proporcionando um acesso consistente mesmo durante interrupções de rede.
Quais são os benefícios e as limitações do HOTP?
Os benefícios da autenticação HOTP
Existem várias vantagens em utilizar o HOTP como o seu método OTP preferido:
- Funciona offline: o HOTP pode funcionar offline, tornando-o ideal para localizações com acesso restrito à internet.
- Sem pressão de tempo: os códigos HOTP não expiram automaticamente, pelo que pode demorar o seu tempo para introduzir o código.
- Algoritmo reconhecido: o HOTP é definido pelo RFC 4226(nova janela), o que garante a compatibilidade entre fornecedores de software e tokens de hardware de vários fornecedores.
- Menos dependências: o sistema baseado em contador do HOTP não depende de relógios precisos ou de conectividade contínua, o que o pode tornar mais previsível em determinados ambientes.
As limitações da autenticação HOTP
Como acontece com todas as tecnologias, o HOTP traz algumas considerações importantes:
- Validade indefinida: os códigos HOTP podem permanecer ativos indefinidamente se não forem gerados novos códigos. Isto dá aos atacantes mais tempo para explorar códigos roubados.
- Sincronização do contador: se gerar códigos sem os utilizar, os contadores do seu dispositivo e do servidor podem ficar dessincronizados, causando falhas de autenticação.
- Gestão manual: como os códigos não expiram automaticamente, deve lembrar-se de gerar novos códigos após cada utilização.
Dê um passo em direção a uma maior segurança de palavras-passe
Embora o HOTP possa não oferecer o benefício de segurança da expiração automática ou a conveniência dos códigos SMS, o seu sistema baseado em contador oferece vantagens únicas. É um sistema 2FA comprovado com acesso offline fiável, e a ausência de pressão de tempo pode torná-lo preferível para alguns.
Para gerir facilmente as suas palavras-passe e códigos 2FA numa única localização encriptada, considere utilizar o Proton Pass. O nosso gestor de palavras-passe seguro com um autenticador 2FA integrado mantém todas as suas credenciais e códigos 2FA protegidos com uma encriptação ponto a ponto total. Manter a sua vida digital segura e conveniente nunca foi tão simples.
