Dijital bankacılık işlemlerini onaylamak için donanımsal bir kod (belirteç) kullandıysanız veya bir oturum açma kodu üretmek için bir YubiKey’e dokunduysanız HMAC tabanlı tek kullanımlık parola (HOTP) teknolojisini kullanmışsınız demektir. Hesaplarınızı korumak için HOTP’yi nasıl kullanabileceğinizi anlamanıza yardımcı olmak amacıyla, HOTP’nin nasıl çalıştığını, avantajlarını, sınırlarını inceleyecek ve diğer OTP yöntemleriyle karşılaştıracağız.

HOTP nedir?

HOTP, HMAC tabanlı tek kullanımlık parola anlamına gelir. Talep üzerine tek kullanımlık oturum açma kodları üreten bir iki adımlı doğrulama (2FA) yöntemidir.

HMAC veya Karma tabanlı İleti Kimlik Doğrulama Kodu, güvenli ve kurcalamaya karşı dayanıklı bir değer üretmek için gizli bir anahtar ve bir karma işlevi kullanan kriptografik bir tekniktir. HOTP, her kimlik doğrulama kodunun benzersiz olmasını ve yalnızca bir kez kullanılabilmesini sağlamak amacıyla bir sayaçla birlikte HMAC uygular.

HOTP kodları kullanılıncaya veya yenisiyle değiştirilinceye kadar geçerli kaldığından, uzaktan çalışma ve güvenilir zaman senkronizasyonunun veya sürekli bağlantı kurmanın mümkün olmadığı diğer ortamlar için son derece uygundur.

HOTP nasıl çalışır?

HOTP kimlik doğrulaması, paylaşılan iki bileşene dayanır: gizli bir anahtar ve bir sayaç. Hem kullanıcının aygıtı hem de kimlik doğrulama sunucusu bu değerleri saklar ve bunları bağımsız olarak aynı tek kullanımlık kodu üretmek için kullanır.

Kurulum: Donanımsal bir kod (belirteç) ayarlandığında, aygıt ile uygulama sunucusu arasında gizli bir anahtar paylaşılır ve her iki tarafta da güvenli bir şekilde saklanır.

Kod üretme: Aygıt, gizli anahtarı mevcut sayaç değeriyle birleştirmek için HMAC adı verilen kriptografik bir karma işlevi kullanır. Sonuç, kısa ve tahmin edilemeyen bir tek kullanımlık paroladır.

Kimlik Doğrulama: HOTP kodunu girdiğinizde sunucu, gizli anahtarın ve sayacın kendi kopyasını kullanarak aynı hesaplamayı gerçekleştirir. Kodlar eşleşirse erişim izni verilir.

HOTP sayaç sisteminin açıklaması

HOTP, aygıtınız ile kimlik doğrulama sunucusu arasında paylaşılan benzersiz bir sayaç sistemine dayanır. Her yeni kod ürettiğinizde sayaç bir artar. Başarılı bir oturum açma işleminden sonra sunucu da kendi sayacını günceller. Aygıt ve sunucu sayaçları senkronize kaldığı sürece kodlar eşleşecek ve size erişim izni verecektir.

HOTP’yi, koparıp sırayla kullandığınız numaralı kuponlardan oluşan bir kitapçık gibi düşünebilirsiniz. Kullanılan bir kupon tekrar kullanılamaz ve bir sonrakini kullanmanız gerekir. HOTP sayaç sistemi de benzer şekilde çalışır.

HOTP kimlik doğrulaması ile diğer OTP’lerin karşılaştırması

HOTP ve OTP karşılaştırması

Tek kullanımlık parolalar (OTP), iki adımlı doğrulama için kullandığımız çeşitli tek kullanımlık parolaları kapsayan geniş bir terimdir. HOTP ise kodlarını üretmek için sayaç tabanlı bir sisteme dayanan özel bir OTP türüdür.

HOTP ve TOTP karşılaştırması

Zaman tabanlı tek kullanımlık parolalar (TOTP), her 30 ila 60 saniyede bir otomatik olarak yeni bir kod üretir. TOTP’nin en yaygın örneği, kimlik doğrulama uygulamaları tarafından üretilen kodlardır. Buna karşılık HOTP, bir zamanlayıcı yerine bir sayaç kullanarak yalnızca talep edildiğinde yeni bir kod üretir.

Bu fark, her bir OTP yönteminin güvenliğini etkiler. TOTP’nin geçerlilik süresinin hızlıca dolması, saldırganlara çok küçük bir fırsat penceresi sunar. Aksine, HOTP kodları günlerce hatta haftalarca geçerli kalabilir.

Bununla birlikte HOTP, aygıtların güvenilir olmayan saatlere sahip olduğu durumlarda daha güvenilirdir. Örneğin, zayıf internet bağlantısı olan uzak konumlardaki ekipmanlar.

HOTP, Kısa mesaj ve e-posta kodlarına karşı

Kısa mesaj ve e-posta yoluyla gönderilen OTP kodları, hücresel ağlar ve internet ağları üzerinden iletilmek zorunda olduklarından ele geçirilmeye karşı hassastır. HOTP kodlarını aygıt üzerinde oluşturur; bu da ağ kesintileri sırasında bile kesintisiz erişim sağlarken sistemi daha güvenli hâle getirir.

HOTP’nin avantajları ve sınırlandırmaları nelerdir?

HOTP kimlik doğrulamasının avantajları

Tercih ettiğiniz OTP yöntemi olarak HOTP kullanmanın çeşitli avantajları vardır:

  • Çevrim dışı çalışır: HOTP çevrim dışı çalışabilir, bu da onu kısıtlı internet erişimi olan konumlar için ideal kılar.
  • Zaman baskısı yoktur: HOTP kodlarının geçerlilik süresi otomatik olarak dolmaz, bu nedenle kodu yazmak için acele etmenize gerek yoktur.
  • Kabul görmüş algoritma: HOTP, çeşitli satıcıların yazılım sağlayıcıları ve donanım kodları (belirteçleri) arasında uyumluluk sağlayan RFC 4226(yeni pencere) tarafından tanımlanmıştır.
  • Daha az bağımlılık: HOTP’nin sayaç tabanlı sistemi, doğru saatlere veya kesintisiz bağlantıya dayanmaz; bu da onu belirli ortamlarda daha öngörülebilir kılabilir.

HOTP kimlik doğrulamasının sınırlandırmaları

Tüm teknolojilerde olduğu gibi, HOTP kullanırken de dikkat edilmesi gereken bazı önemli hususlar vardır:

  • Süresiz geçerlilik: Yeni bir kod oluşturulmazsa HOTP kodları süresiz olarak etkin kalabilir. Bu durum, saldırganlara çalınan kodları kötüye kullanmaları için daha fazla zaman verir.
  • Sayaç senkronizasyonu: Kodları kullanmadan oluşturursanız aygıtınızın ve sunucunuzun sayaçları arasındaki senkronizasyon bozulabilir ve bu durum kimlik doğrulama hatalarına yol açabilir.
  • Manuel yönetim: Kodların geçerlilik süresi otomatik olarak dolmadığından, her kullanımdan sonra yeni kodlar oluşturmayı unutmamanız gerekir.

Daha güçlü parola güvenliğine doğru bir adım atın

HOTP; otomatik geçerlilik süresi dolmasının sağladığı güvenlik avantajını veya Kısa mesaj kodlarının rahatlığını sunmasa da sayaç tabanlı sistemi benzersiz avantajlar sunar. Güvenilir çevrim dışı erişime sahip, rüştünü ispatlamış bir iki adımlı doğrulama sistemidir ve zaman baskısının olmaması, bazı kişiler için bu sistemi tercih sebebi kılabilir.
Parolalarınızı ve iki adımlı doğrulama kodlarınızı tek bir şifrelenmiş konumda kolayca yönetmek için Proton Pass kullanmayı düşünebilirsiniz. Entegre bir iki adımlı doğrulama kimlik doğrulayıcısına sahip güvenli parola yöneticimiz, tüm kimlik doğrulama bilgilerinizi ve iki adımlı doğrulama kodlarınızı tam uçtan uca şifreleme ile koruma altında tutar. Dijital yaşamınızı güvenli ve pratik tutmak hiç bu kadar kolay olmamıştı.