Vad är HOTP? En guide till HMAC-baserade engångslösenord

Om du någonsin har använt en hårdvaru-token för att godkänna digitala banktransaktioner eller tryckt på en YubiKey för att generera en inloggningskod, har du använt HMAC-baserad engångslösenordsteknik (HOTP). För att hjälpa dig att förstå hur du kan använda HOTP för att skydda dina konton, kommer vi att utforska hur HOTP fungerar, dess fördelar och begränsningar, samt jämföra det med andra OTP-metoder.

Vad är HOTP?

HOTP står för HMAC-baserat engångslösenord. Det är en metod för tvåfaktorsautentisering (2FA) som genererar engångskoder för inloggning på begäran.

HMAC, eller Hash-based Message Authentication Code, är en kryptografisk teknik som använder en hemlig nyckel och en hashfunktion för att producera ett säkert, manipulationssäkert värde. HOTP tillämpar HMAC tillsammans med en räknare för att säkerställa att varje autentiseringskod är unik och endast kan användas en gång.

Eftersom HOTP-koder förblir giltiga tills de används eller ersätts, är de väl lämpade för distansarbete och andra miljöer där tillförlitlig tidssynkronisering eller konstant anslutning inte är möjlig.

Hur fungerar HOTP?

HOTP-autentisering baseras på två delade komponenter: en hemlig nyckel och en räknare. Både användarens enhet och autentiseringsservern lagrar dessa värden och använder dem för att oberoende av varandra generera samma engångskod.

Konfiguration: När en hårdvaru-token konfigureras delas en hemlig nyckel mellan enheten och applikationsservern och lagras säkert på båda sidor.

Generera en kod: Enheten använder en kryptografisk hashfunktion som kallas HMAC för att kombinera den hemliga nyckeln med det aktuella räknarvärdet. Resultatet är ett kort, oförutsägbart engångslösenord.

Autentisering: När du anger HOTP-koden utför servern samma beräkning med sin egen kopia av den hemliga nyckeln och räknaren. Om koderna matchar beviljas du åtkomst.

HOTP-räknarsystemet förklarat

HOTP bygger på ett unikt räknarsystem som delas mellan din enhet och autentiseringsservern. Varje gång du genererar en ny kod ökar räknaren. Efter en lyckad inloggning uppdaterar även servern sin räknare. Så länge enhetens och serverns räknare är synkroniserade kommer koderna att matcha och ge dig åtkomst.

Tänk på HOTP som ett häfte med numrerade kuponger som du river av och använder i tur och ordning. En använd kupong kan inte återanvändas, och du måste använda nästa. HOTP-räknarsystemet fungerar på ett liknande sätt.

HOTP-autentisering vs. andra OTP-metoder

HOTP vs OTP

Engångslösenord (OTP) är ett brett begrepp för de olika engångslösenord vi använder för 2FA. HOTP är en specifik typ av OTP som bygger på ett räknarbaserat system för att generera sina koder.

HOTP vs. TOTP

Tidsbaserade engångslösenord (TOTP) genererar automatiskt en ny kod var 30:e till 60:e sekund. Det vanligaste exemplet på TOTP är de koder som genereras av autentiseringsappar. HOTP, å andra sidan, genererar en ny kod endast på begäran, med hjälp av en räknare snarare än en timer.

Denna skillnad påverkar säkerheten för varje OTP-metod. Den snabba utgången av TOTP ger angripare ett mycket litet tidsfönster. Omvänt kan HOTP-koder förbli giltiga i flera dagar och till och med veckor.

HOTP är dock mer tillförlitligt i situationer där enheter har otillförlitliga klockor. Till exempel utrustning på avlägsna platser med svaga internetanslutningar.

HOTP vs. SMS- och e-postkoder

OTP-koder som skickas via SMS och e-post är känsliga för avlyssning eftersom de måste färdas över mobil- och internetnätverk. HOTP genererar koder på enheten, vilket gör det säkrare samtidigt som det gör att du får konsekvent åtkomst även under nätverksstörningar.

Vilka är fördelarna och begränsningarna med HOTP?

Fördelarna med HOTP-autentisering

Det finns flera fördelar med att använda HOTP som din föredragna OTP-metod:

• Fungerar offline: HOTP kan fungera offline, vilket gör det idealiskt för platser med begränsad internetåtkomst.
• Ingen tidspress: HOTP-koder löper inte ut automatiskt, så du kan ta dig tid att ange koden.
• Erkänd algoritm: HOTP definieras av RFC 4226(nytt fönster), vilket säkerställer kompatibilitet mellan mjukvaruleverantörer och hårdvarutoken från olika tillverkare.
• Färre beroenden: HOTP:s räknarbaserade system är inte beroende av exakta klockor eller kontinuerlig anslutning, vilket kan göra det mer förutsägbart i vissa miljöer.

Begränsningarna med HOTP-autentisering

Precis som med all teknik finns det några viktiga saker att tänka på med HOTP:

• Obegränsad giltighetstid: HOTP-koder kan förbli aktiva på obestämd tid om inga nya koder genereras. Detta ger angripare mer tid att utnyttja stulna koder.
• Synkronisering av räknare: Om du genererar koder utan att använda dem kan räknarna på din enhet och server hamna ur synk, vilket leder till misslyckad autentisering.
• Manuell hantering: Eftersom koder inte löper ut automatiskt måste du komma ihåg att generera nya koder efter varje användning.

Ta ett steg mot starkare lösenordssäkerhet

Även om HOTP kanske inte erbjuder säkerhetsfördelen med automatisk utgång eller bekvämligheten med SMS-koder, erbjuder dess räknarbaserade system unika fördelar. Det är ett beprövat 2FA-system med tillförlitlig offlineåtkomst, och avsaknaden av tidspress kan göra att vissa föredrar det.
För att enkelt hantera dina lösenord och 2FA-koder på en krypterad plats, överväg att använda Proton Pass. Vår säkra lösenordshanterare med en integrerad 2FA-autentiserare håller alla dina inloggningsuppgifter och 2FA-koder skyddade med fullständig end-to-end-kryptering. Att hålla ditt digitala liv säkert och bekvämt har aldrig varit enklare.