Aplicațiile de autentificare, tokenurile hardware și codurile SMS sunt metode comune de autentificare pe care le veți întâlni la configurarea autentificării cu doi factori (A2F). Toate acestea se bazează pe parole de unică folosință (OTP). TOTP și HOTP sunt două tipuri standardizate de OTP-uri, în timp ce codurile prin SMS și e-mail sunt alte metode comune de transmitere a OTP. Deși, în esență, servesc aceluiași scop de bază, implementările lor diferă, oferindu-le avantaje și limitări unice. În acest articol, vom analiza HOTP vs TOTP vs OTP și vom explica ce opțiune este cea mai potrivită pentru diferite cazuri de utilizare.
Înțelegerea HOTP, TOTP și OTP
Parolă de unică folosință (OTP)
OTP-urile sunt coduri temporare, numite uneori parole de unică folosință sau coduri A2F, care sunt utilizate o singură dată. Ele nu înlocuiesc parolele; în schimb, oferă un strat suplimentar de securitate. OTP-urile sunt utilizate în mod obișnuit în aplicațiile bancare pentru verificarea identității în timpul conectării sau la configurarea unui cont online.
Notă: OTP este termenul general pentru diverse forme de parole de unică folosință, inclusiv TOTP, HOTP și e-mail/SMS.
Parolă de unică folosință bazată pe timp (TOTP)
Codurile TOTP sunt, de obicei, coduri din 6 cifre generate de aplicațiile de autentificare. Acestea sunt valabile timp de aproximativ 30 de secunde (uneori până la 60 de secunde, în funcție de serviciu). Când un cod expiră, acesta nu mai funcționează și se generează unul nou. Natura bazată pe timp a TOTP îl face extrem de sigur, deoarece limitează fereastra de oportunitate pentru ca atacatorii să folosească un cod furat.
Parolă de unică folosință bazată pe HMAC (HOTP)
Codurile HOTP se găsesc de obicei în tokenuri hardware precum YubiKeys și se bazează pe un sistem pe bază de contor pentru a genera coduri. Acest sistem funcționează într-un mod similar cu o carte de vouchere numerotate — există o ordine de succesiune a codurilor care este comparată cu sistemul. Atât timp cât tokenul hardware și serverul aplicației rămân sincronizate, vi se acordă accesul.
Spre deosebire de TOTP, codurile HOTP nu expiră pe baza unui cronometru. Acestea rămân valabile până când le utilizați sau generați un cod nou. Acest lucru le face ideale pentru scenarii deconectate, dar înseamnă, de asemenea, că dacă generați un cod și nu îl utilizați, acesta rămâne o cheie valabilă pe care un atacator ar putea să o găsească și să o folosească.
HOTP, TOTP și OTP: Diferențe cheie
Atât TOTP, cât și HOTP sunt tipuri de OTP-uri cu metode diferite de generare. De exemplu, dacă comparați TOTP cu OTP, probabil comparați codurile bazate pe timp din aplicațiile de autentificare cu metodele generale de OTP, cum ar fi codurile prin SMS și e-mail.
| Coduri SMS/e-mail | TOTP | HOTP | |
| Valabilitatea codului | Variază (de la minute la ore) | Între 30 și 60 de secunde | Până când este generat un cod nou |
| Securitate* | Redusă | Ridicată | Moderată |
| Complexitatea configurării | Niciuna | Redusă | Moderată |
| Cerință de rețea activă | Da | Nu | Nu |
| Hardware suplimentar | Niciuna | Niciuna | Token hardware |
*Nivelul de securitate se bazează pe ferestrele de valabilitate ale codului și pe riscul de interceptare.
Securitate
HOTP, TOTP și OTP oferă niveluri diferite de securitate, aspectele cheie de luat în considerare fiind timpul de expunere și metoda de transmitere.
TOTP oferă, în general, o securitate mai puternică decât codurile prin SMS sau e-mail, deoarece codurile sunt generate pe dispozitiv și au o valabilitate scurtă. Dacă atacatorii obțin cumva codul dvs. TOTP, acesta devine inutil.
HOTP este construit pe o bază criptografică, oferind o securitate solidă. Cu toate acestea, deoarece codurile HOTP nu expiră pe baza unui cronometru, ferestrele de valabilitate potențial lungi ar putea face din codurile furate o vulnerabilitate.
Codurile prin SMS și e-mail sunt cele mai puțin sigure dintre toate. Acestea circulă prin rețele care pot fi interceptate sau redirecționate, ceea ce le face mai vulnerabile la atacurile de tip SIM swap sau phishing..
Notă: Nicio metodă OTP nu este imună la atacurile de inginerie socială, cum ar fi phishing-ul. Este important să știți cum să depistați phishing-ul pentru a vă apăra corespunzător.
| Coduri SMS/e-mail | TOTP | HOTP |
| Susceptibil de a fi interceptat din cauza cerințelor de rețea activă | Timp minim pentru ca atacatorii să exploateze codurile furate | Valabilitatea lungă oferă oportunități extinse de atac |
| Platformele necriptate fac ca codurile să fie mai ușor de furat | Risc de interceptare mai scăzut, deoarece codurile sunt generate pe dispozitiv | Securitate solidă construită pe o bază criptografică |
Experiența utilizatorului
Complexitatea configurării, presiunea timpului și fiabilitatea afectează experiența utilizatorului pentru cele trei metode.
TOTP este fiabil și convenabil. Configurarea este simplă (adesea doar scanarea unui cod QR), iar codurile sunt generate chiar și fără o rețea activă. Cu toate acestea, expirarea scurtă a codului creează presiunea timpului, ceea ce poate provoca frustrare pentru utilizatorii mai lenți sau pentru cei care gestionează mai multe conturi.
În comparație, HOTP este mult mai relaxat, cu zero constrângeri de timp. Totuși, configurarea este mult mai complexă și poate implica achiziționarea de hardware suplimentar.
Codurile prin SMS și e-mail sunt cele mai facile, fără a necesita configurare, dar se bazează pe conectivitatea la rețea, ceea ce poate cauza întârzieri în timpul întreruperilor sau al disfuncționalităților.
| Coduri SMS/e-mail | TOTP | HOTP |
| Nu este necesară configurarea | Configurare simplă prin cod QR cu un autentificator A2F | Configurare complexă, poate necesita hardware suplimentar |
| Ușoară presiune a timpului, unele coduri expirând în câteva ore | Presiunea timpului poate provoca frustrare | Fără presiune de timp |
| Depinde în întregime de o rețea activă pentru livrarea codului | Funcționează în mod fiabil chiar și fără o conexiune la rețea | Funcționează deconectat, dar pot apărea probleme de sincronizare |
Limitări
Limitările unice ale fiecărei metode vor afecta modul și momentul în care le utilizați. Codurile prin SMS și e-mail funcționează cu dispozitivele dvs. existente, dar dependența lor de rețeaua dvs. și de conexiunile la internet poate cauza întârzieri în livrarea codului, care ar putea dura chiar mai mult decât valabilitatea acestuia.
TOTP nu necesită o conexiune la rețea pentru a genera coduri, dar necesită ca smartphone-ul dvs. să fie sincronizat temporal cu serverul pentru ca codul dvs. să funcționeze. Cel mai bun mod de a asigura acest lucru este să setați ceasul dispozitivului dvs. să se sincronizeze automat cu internetul. Astfel, când călătoriți, sincronizarea timpului rămâne activă.
Cu HOTP, generarea de noi coduri în mod deconectat poate fi benefică atunci când conectivitatea la rețea este slabă. Cu toate acestea, aceasta este o sabie cu două tăișuri. Regenerarea codurilor fără a le utiliza poate face ca dispozitivul dvs. să se desincronizeze de server, creând erori de autentificare. De asemenea, regenerarea manuală necesară pentru HOTP plasează o responsabilitate uriașă de securitate pe seama utilizatorului.
| Coduri SMS/e-mail | TOTP | HOTP |
| Zonele cu rețea slabă pot cauza întârzieri semnificative în livrarea codului | Ora dispozitivului trebuie să fie sincronizată cu ora serverului, chiar și atunci când călătoriți | Se poate desincroniza dacă sunt generate prea multe coduri, dar nu sunt utilizate |
Ce metodă OTP ar trebui să utilizați?
Răspunsul scurt este că TOTP este cel mai bun standard pentru majoritatea oamenilor, în timp ce HOTP deservește nevoi specifice în stare deconectată. Ambele sunt superioare SMS-urilor.
Deși nevoile individuale variază, TOTP pare să fie alegerea mai echilibrată în majoritatea situațiilor. Natura bazată pe timp oferă un nivel suplimentar de securitate, iar accesibilitatea prin intermediul smartphone-ului îl face o alegere convenabilă și sigură pentru conturile pe care le accesați în mod regulat. Însă, pentru o protecție și mai puternică împotriva phishingului, metodele bazate pe hardware, cum ar fi FIDO2/cheile de acces, merg mai departe decât orice metodă OTP.
Stocați parolele și generați coduri OTP în siguranță
Gestionarea parolelor și a codurilor de autentificare TOTP poate fi o bătăie de cap — comutarea constantă între aplicații în timpul conectărilor reduce timpul deja limitat pe care îl aveți pentru a introduce codurile. Proton Pass este un manager de parole sigur care reduce acest disconfort prin funcționalitatea noastră A2F integrată (TOTP). Accesați-vă parolele, codurile A2F și multe altele dintr-un singur seif securizat și criptat.
