Provavelmente já teve de introduzir um código de seis dígitos de uma aplicação de autenticação ao iniciar sessão online. Isto é conhecido como uma palavra-passe de utilização única baseada no tempo, ou TOTP, e é uma forma incrivelmente fácil de melhorar a segurança das suas contas online.
Graças à rápida expiração de 30 a 60 segundos destes códigos, torna-se quase impossível para os cibercriminosos acederem à sua conta, mesmo que consigam roubar as suas palavras-passe. Vamos explorar o que são os TOTP, como funcionam e como se comparam com outros métodos de autenticação.
O que é o TOTP?
O TOTP é um tipo de palavra-passe de utilização única (OTP) que gera códigos temporários utilizando o tempo como elemento fundamental. Estes códigos mudam a cada 30 a 60 segundos, tornando-os extremamente difíceis de comprometer por parte de cibercriminosos. Na eventualidade pouco provável de, de alguma forma, descobrirem o seu código, a sua curta duração torna-o rapidamente quase inútil para um atacante.
O TOTP é um método de autenticação de dois fatores (2FA) que adiciona uma camada de segurança extra ao seu nome de utilizador e à sua palavra-passe. É conveniente de utilizar — basta gerar o código a partir de uma aplicação de autenticação — e a sua natureza baseada no tempo torna-o muito seguro.
Como funciona o TOTP?
De forma simples, o TOTP funciona através da partilha de uma chave secreta entre o serviço que está a proteger e a sua aplicação de TOTP.
Quando ativa a 2FA, digitaliza um código QR para partilhar a chave secreta com o seu autenticador TOTP. As aplicações de TOTP são gratuitas e as mais comuns incluem o Google Authenticator e o Microsoft Authenticator. Se estiver a utilizar um gestor de palavras-passe seguro, este poderá incluir um autenticador 2FA integrado que gera códigos TOTP. O Proton Pass é um desses gestores de palavras-passe; armazena as suas palavras-passe de forma segura e gera os seus códigos 2FA, tudo numa única aplicação.
Assim que a configuração inicial estiver concluída, o serviço no qual está a iniciar sessão e a aplicação de autenticação sincronizam-se para calcular de forma independente o mesmo código ao mesmo tempo, utilizando a chave secreta. Ao iniciar sessão, ser-lhe-á solicitado que introduza um código 2FA. Se o código do serviço corresponder ao que introduzir, a sua sessão será iniciada.
As diferenças entre o TOTP e outras palavras-passe de utilização única
O TOTP é apenas um dos vários métodos de palavras-passe de utilização única (OTP). Eis uma breve perspetiva de como o TOTP se compara com os restantes. Também pode encontrar um guia mais detalhado sobre a diferença entre TOTP, OTP e HOTP.
TOTP vs. OTP
OTP é um termo genérico para palavras-passe de utilização única. O TOTP é um tipo de OTP que utiliza um modelo baseado no tempo para gerar códigos OTP. Todos os TOTP são OTP, mas existem outros métodos de OTP. Estes incluem códigos por SMS e e-mail, e HOTP. Cada método tem formas diferentes de gerar e enviar o seu código OTP.
TOTP vs. HOTP
As palavras-passe de utilização única baseadas em HMAC (HOTP) geram um novo código OTP apenas quando solicitado. Isto significa que cada código é válido até que um novo seja gerado, o que os torna mais propensos a serem comprometidos. Os códigos TOTP são atualizados automaticamente após 30 a 60 segundos, pelo que os atacantes têm menos tempo para utilizar códigos roubados.
TOTP vs. códigos por SMS e e-mail
Os códigos por SMS e e-mail são enviados através de redes móveis e de Internet, o que os torna vulneráveis a interceção. Se estiver a utilizar redes com pouca segurança ou comprometidas, os atacantes podem monitorizar a sua atividade e obter os seus códigos OTP. Em comparação, os códigos TOTP são gerados no dispositivo e não são transmitidos por nenhuma rede, o que os torna mais seguros.
Os benefícios de segurança do TOTP
Existem vários benefícios de segurança associados à utilização do TOTP como o seu método de OTP preferido.
- Códigos com limite de tempo: os códigos TOTP expiram num prazo de 30 a 60 segundos antes de ser gerado um novo código. Isto não dá praticamente nenhum tempo aos atacantes para utilizarem códigos TOTP roubados, uma vez que os códigos expirados não podem ser reutilizados.
- À prova de interceção: os códigos TOTP são gerados no dispositivo. Não são transmitidos através de redes onde poderiam ser intercetados devido a uma fraca segurança de rede.
- Proteção contra incidentes de dados: se a sua palavra-passe for exposta num incidente de dados, os códigos TOTP fornecem uma barreira adicional contra inícios de sessão não autorizados. Os atacantes não conseguem aceder à sua conta sem a sua aplicação de autenticação.
- Funciona em qualquer smartphone: o TOTP funciona diretamente no seu smartphone, sem necessidade de adquirir um token físico. Basta transferir uma aplicação de autenticação para o seu dispositivo e já está.
O TOTP oferece uma excelente segurança, mas não é perfeito. Perder o seu dispositivo pode impedi-lo de aceder às suas contas, pelo que deve guardar sempre as cópias de segurança dos códigos. Além disso, certifique-se de que os relógios dos seus dispositivos sincronizam automaticamente com a Internet, uma vez que as definições de hora incorretas são uma causa comum de falhas no TOTP.
Proteja as suas contas com o TOTP
O TOTP melhora a segurança da sua conta com códigos baseados no tempo que são superiores a outros métodos de OTP. Gerir várias palavras-passe e códigos 2FA não tem de ser uma complicação — basta utilizar o Proton Pass, um gestor de palavras-passe com um autenticador TOTP integrado.
O Proton Pass combina o armazenamento e a geração de palavras-passe com um autenticador 2FA, eliminando a alternância entre aplicações ao iniciar sessão e a necessidade de transferir aplicações adicionais. Poupa-lhe um espaço de armazenamento precioso e torna o início de sessão com 2FA simples e intuitivo. Tudo o que armazena no Proton Pass, incluindo os códigos que gera, está protegido por uma poderosa encriptação ponto a ponto.
Leve a segurança do início de sessão para o nível seguinte — ative o TOTP para as suas contas e armazene hoje mesmo todas as suas palavras-passe com o Proton Pass.
