Что такое TOTP? Всё, что вам нужно знать об одноразовых паролях на основе времени

Вам, вероятно, уже приходилось вводить шестизначный код из приложения для аутентификации при входе в аккаунт онлайн. Это называется одноразовым паролем на основе времени, или TOTP, и это невероятно простой способ повысить безопасность ваших онлайн-аккаунтов.

Благодаря короткому сроку действия этих кодов (от 30 до 60 секунд) киберпреступникам практически невозможно получить доступ к вашему аккаунту, даже если им удастся украсть ваши пароли. Мы разберем, что такое TOTP, как они работают и как они соотносятся с другими методами аутентификации.

Что такое TOTP?

TOTP — это тип одноразового пароля (OTP), который генерирует временные коды, используя время в качестве ключевого фактора. Эти коды меняются каждые 30–60 секунд, из-за чего киберпреступникам крайне сложно их раскрыть. В маловероятном случае, если они каким-то образом узнают ваш код, его короткий срок действия быстро сделает его практически бесполезным для злоумышленника.

TOTP — это метод двухфакторной аутентификации (2FA), который добавляет дополнительный уровень безопасности к вашему имени пользователя и паролю. Им удобно пользоваться — просто сгенерируйте код в приложении для аутентификации, — а его зависимость от времени делает его очень безопасным.

Как работает TOTP?

Проще говоря, принцип работы TOTP заключается в совместном использовании секретного ключа защищаемым сервисом и вашим TOTP-приложением.

Когда вы включаете 2FA, вы сканируете QR-код, чтобы поделиться секретным ключом со своим TOTP-аутентификатором. Приложения TOTP бесплатны, и среди популярных — Google Authenticator и Microsoft Authenticator. Если вы используете надежный менеджер паролей, в нем может быть встроенный аутентификатор 2FA, генерирующий коды TOTP. Proton Pass — один из таких менеджеров паролей; он надежно хранит ваши пароли и генерирует коды 2FA в одном приложении.

После завершения первоначальной настройки сервис, в который вы входите, и приложение для аутентификации синхронизируются, чтобы независимо рассчитывать один и тот же код в одно и то же время с помощью секретного ключа. При входе в систему вам будет предложено ввести код 2FA. Если код сервиса совпадет с введенным вами, вы войдете в систему.

Различия между TOTP и другими одноразовыми паролями

TOTP — лишь один из нескольких методов одноразовых паролей (OTP). Вот краткий обзор того, как TOTP сопоставляется с ними. Вы также можете найти более подробное руководство о разнице между TOTP, OTP и HOTP.

TOTP против OTP

OTP — это собирательный термин для одноразовых паролей. TOTP — это разновидность OTP, в которой для генерации кодов используется модель на основе времени. Все TOTP являются OTP, но существуют и другие методы OTP. К ним относятся коды из смс и электронных писем, а также HOTP. Каждый метод имеет свои способы генерации и доставки вашего OTP-кода.

TOTP против HOTP

Одноразовые пароли на основе HMAC (HOTP) генерируют новый OTP-код только по запросу. Это означает, что каждый код остается действительным до тех пор, пока не будет сгенерирован новый, что делает их более уязвимыми к раскрытию. Коды TOTP автоматически обновляются каждые 30–60 секунд, поэтому у злоумышленников меньше времени на использование украденных кодов.

TOTP против кодов из смс и электронных писем

Коды из смс и электронных писем доставляются по сотовым и интернет-сетям, что делает их уязвимыми для перехвата. Если вы используете плохо защищенные или раскрытые сети, злоумышленники могут следить за вашими действиями и получить ваши OTP-коды. Для сравнения, коды TOTP генерируются на устройстве и не передаются по сети, что делает их более безопасными.

Преимущества безопасности TOTP

Использование TOTP в качестве предпочтительного метода OTP дает несколько преимуществ в плане безопасности.

• Ограниченные по времени коды: коды TOTP истекают в течение 30–60 секунд, после чего генерируется новый код. Это практически не оставляет злоумышленникам времени на использование украденных кодов TOTP, так как коды, срок действия которых истек, нельзя использовать повторно.
• Защита от перехвата: коды TOTP генерируются на устройстве. Они не передаются по сетям, где их могли бы перехватить из-за слабой безопасности сети.
• Защита при утечках данных: если ваш пароль будет раскрыт в результате утечки данных, коды TOTP станут дополнительным барьером для несанкционированного входа. Злоумышленники не смогут получить доступ к вашему аккаунту без вашего приложения для аутентификации.
• Работает на любом смартфоне: TOTP работает прямо с вашего смартфона — нет необходимости покупать аппаратный токен. Просто скачайте приложение для аутентификации на свое устройство, и все готово.

TOTP обеспечивает отличную безопасность, но эта система не идеальна. Потеря устройства может лишить вас доступа к аккаунтам, поэтому всегда сохраняйте резервные коды. Также убедитесь, что часы на ваших устройствах автоматически синхронизируются с интернетом, так как неправильные настройки времени — частая причина сбоев TOTP.

Защитите свои аккаунты с помощью TOTP

TOTP повышает безопасность вашего аккаунта с помощью кодов на основе времени, которые превосходят другие методы OTP. Управление множеством паролей и кодов 2FA не должно быть проблемой — просто используйте Proton Pass, менеджер паролей со встроенным TOTP-аутентификатором.

Proton Pass сочетает в себе хранение и генерацию паролей с 2FA-аутентификатором, избавляя от необходимости переключаться между приложениями при входе и скачивать дополнительные приложения. Это экономит драгоценное место в хранилище и делает вход с 2FA быстрым и удобным. Всё, что вы храните в Proton Pass, включая создаваемые вами коды, защищено мощным сквозным шифрованием.

Поднимите безопасность входа на новый уровень — включите TOTP для своих аккаунтов и сохраните все свои пароли в Proton Pass уже сегодня.