Autentiseringsappar, hårdvarutoken och SMS-koder är vanliga autentiseringsmetoder som du stöter på när du konfigurerar tvåfaktorsautentisering (2FA). Alla bygger på engångslösenord (OTP). TOTP och HOTP är två standardiserade typer av OTP:er, medan SMS- och e-postkoder är andra vanliga leveransmetoder för OTP. Även om de i grunden tjänar samma syfte skiljer sig deras implementeringar åt, vilket ger dem unika fördelar och begränsningar. I den här artikeln går vi igenom HOTP vs TOTP vs OTP och förklarar vilket alternativ som är bäst för olika användningsområden.
Förstå HOTP, TOTP och OTP
Engångslösenord (OTP)
OTP-koder är tillfälliga koder, som ibland kallas engångslösenord eller 2FA-koder, som endast används en gång. De ersätter inte lösenord, utan ger istället ett extra säkerhetslager. OTP-koder används vanligtvis i bankapplikationer för identitetsverifiering vid inloggningar eller när du skapar ett onlinekonto.
Obs! OTP är samlingsnamnet för olika typer av engångslösenord, inklusive TOTP, HOTP och e-post/SMS.
Tidsbaserat engångslösenord (TOTP)
TOTP-koder är vanligtvis 6-siffriga koder som genereras av autentiseringsappar. De är giltiga i cirka 30 sekunder (ibland upp till 60 sekunder, beroende på tjänsten). När en kod löper ut fungerar den inte längre och en ny genereras. TOTP:s tidsbaserade natur gör den mycket säker eftersom den begränsar tidsfönstret för angripare att använda en stulen kod.
HMAC-baserat engångslösenord (HOTP)
HOTP:er finns vanligtvis i hårdvarutokens som YubiKeys och förlitar sig på ett räknarbaserat system för att generera koder. Detta system fungerar på ett liknande sätt som en bok med numrerade kuponger – det finns en löpande ordning av koder som matchas mot systemet. Så länge din hårdvarutoken och applikationsserver förblir synkroniserade får du åtkomst.
Till skillnad från TOTP löper HOTP-koder inte ut efter en viss tid. De förblir giltiga tills du använder dem eller genererar en ny kod. Detta gör dem idealiska för offlinescenarier, men det innebär också att om du genererar en kod och inte använder den, förblir den en giltig nyckel som en angripare kan hitta och använda.
HOTP, TOTP och OTP: Viktiga skillnader
Både TOTP och HOTP är typer av OTP:er med olika metoder för generering. Om du till exempel jämför TOTP med OTP, jämför du troligen de tidsbaserade koderna från autentiseringsappar med allmänna OTP-metoder som SMS- och e-postkoder.
| SMS-/e-postkoder | TOTP | HOTP | |
| Kodgiltighet | Varierar (minuter till timmar) | 30 till 60 sekunder | Tills en ny kod genereras |
| Säkerhet* | Låg | Hög | Måttlig |
| Konfigurationskomplexitet | Ingen | Låg | Måttlig |
| Krav på aktivt nätverk | Ja | Nej | Nej |
| Ytterligare hårdvara | Ingen | Ingen | Hårdvarutoken |
*Säkerhetsnivå baserad på kodens giltighetsfönster och risk för avlyssning.
Säkerhet
HOTP, TOTP och OTP erbjuder olika säkerhetsnivåer, där de viktigaste faktorerna är exponeringstid och överföringsmetod.
TOTP erbjuder generellt starkare säkerhet än SMS- eller e-postkoder, eftersom koder genereras på enheten och har en kort giltighetstid. Om angripare på något sätt kommer över din TOTP-kod blir den oanvändbar.
HOTP bygger på en kryptografisk grund som ger en solid säkerhet. Men eftersom HOTP-koder inte löper ut efter en viss tid, kan de potentiellt långa giltighetsfönstren göra stulna koder till en sårbarhet.
SMS- och e-postkoder är de minst säkra av dem alla. De färdas över nätverk som kan avlyssnas eller omdirigeras, vilket gör dem mer sårbara för SIM-kapning eller nätfiskeattacker..
Obs! Ingen OTP-metod är immun mot social manipulation, såsom nätfiske. Det är viktigt att veta hur du upptäcker nätfiske för att kunna försvara dig på rätt sätt.
| SMS-/e-postkoder | TOTP | HOTP |
| Mottaglig för avlyssning på grund av krav på ett aktivt nätverk | Minimal tid för angripare att utnyttja stulna koder | Lång giltighetstid ger utökade möjligheter till attacker |
| Okrypterade plattformar gör koder lättare att stjäla | Lägre risk för avlyssning eftersom koder genereras på enheten | Solid säkerhet byggd på en kryptografisk grund |
Användarupplevelse
Konfigurationskomplexitet, tidspress och tillförlitlighet påverkar användarupplevelsen för de tre metoderna.
TOTP är pålitligt och bekvämt. Konfigurationen är enkel (ofta bara genom att skanna en QR-kod), och koder genereras även utan ett aktivt nätverk. Den korta giltighetstiden för koder skapar dock tidspress, vilket kan orsaka frustration för långsammare användare eller de som hanterar flera konton.
HOTP är mycket mer avslappnat i jämförelse, med noll tidsbegränsningar. Konfigurationen är dock mycket mer komplex och kan innebära köp av ytterligare hårdvara.
SMS- och e-postkoder är de mest ansträngningslösa, utan någon konfiguration, men de är beroende av nätverksanslutning vilket kan orsaka fördröjningar vid strömavbrott eller störningar.
| SMS-/e-postkoder | TOTP | HOTP |
| Ingen konfiguration krävs | Enkel konfiguration via QR-kod med en 2FA-autentiseringsapp | Komplex konfiguration, kan kräva ytterligare hårdvara |
| Viss tidspress, då vissa koder löper ut inom några timmar | Tidspress kan orsaka frustration | Ingen tidspress |
| Helt beroende av ett aktivt nätverk för kodleverans | Fungerar tillförlitligt även utan nätverksanslutning | Fungerar offline, men synkroniseringsproblem kan uppstå |
Begränsningar
De unika begränsningarna för varje metod påverkar hur och när du använder dem. SMS- och e-postkoder fungerar med dina befintliga enheter, men deras beroende av ditt nätverk och dina internetanslutningar kan orsaka fördröjningar i kodleveransen som till och med kan vara längre än kodernas giltighetstid.
TOTP kräver ingen nätverksanslutning för att generera koder, men kräver att din smartphone är tidssynkroniserad med servern för att din kod ska fungera. Det bästa sättet att säkerställa detta är att låta din enhets klocka automatiskt synkroniseras med internet. På så sätt bibehålls tidssynkroniseringen när du reser.
Med HOTP kan det vara fördelaktigt att generera nya koder offline när nätverksanslutningen är dålig. Detta är dock ett tveeggat svärd. Att generera nya koder utan att använda dem kan göra att din enhet hamnar ur synk med servern, vilket skapar autentiseringsfel. Den manuella genereringen som krävs med HOTP lägger dessutom ett stort säkerhetsansvar på användaren.
| SMS-/e-postkoder | TOTP | HOTP |
| Områden med dåligt nätverk kan orsaka betydande fördröjningar i kodleveransen | Enhetens tid måste vara synkroniserad med serverns tid, även under resor | Kan hamna i osynk om för många koder genereras men inte används |
Vilken OTP-metod bör du använda?
Det korta svaret är att TOTP är den bästa standarden för de flesta, medan HOTP uppfyller specifika offlinebehov. Båda är överlägsna SMS.
Även om de individuella behoven varierar verkar TOTP vara det mer balanserade valet i de flesta situationer. Den tidsbaserade karaktären ger ett extra säkerhetslager, och tillgängligheten via smarttelefoner gör det till ett bekvämt och säkert val för de konton du regelbundet får åtkomst till. Men för ett ännu starkare skydd mot nätfiske sträcker sig maskinvarubaserade metoder som FIDO2/passnycklar längre än någon OTP-metod.
Lagra lösenord och generera OTP:er säkert
Att hantera lösenord och TOTP-autentiseringskoder kan vara krångligt – att ständigt behöva byta app vid inloggningar minskar den redan begränsade tid du har på dig att ange koder. Proton Pass är en säker lösenordshanterare som minskar denna friktion med vår integrerade 2FA-funktionalitet (TOTP). Få åtkomst till dina lösenord, 2FA-koder och mer från ett säkert, krypterat valv.
