在線上登入時,您可能必須輸入來自 驗證 app 的六位數代碼。這被稱為基於時間的 一次性密碼(或稱 TOTP),這是一種能輕易提升線上帳號安全性的極佳方式。
由於這些代碼會在短短 30 到 60 秒內過期,因此即使網路犯罪分子設法竊取了您的密碼,他們也幾乎無法存取您的帳號。我們將探討什麼是 TOTP、其運作原理,以及它與其他驗證方法的比較。
什麼是 TOTP?
TOTP 是一種一次性密碼 (OTP),它使用時間作為關鍵要素來產生暫時性代碼。這些代碼每 30 到 60 秒就會變更一次,使網路犯罪分子極難入侵。即使發生極少見的事件,讓他們設法發現了您的代碼,代碼短暫的有效期限也會使其迅速失效,讓攻擊者無功而返。
TOTP 是一種 雙重身分驗證 (2FA) 方法,可為您的使用者名稱和密碼增添額外的安全防護。它使用方便——只需從驗證 app 產生代碼即可——且其基於時間的特性使其非常安全。
TOTP 的運作原理為何?
簡單來說,TOTP 的運作原理是在您要保護的服務與您的 TOTP 應用程式之間共享一個密鑰。
當您啟用雙重驗證時,您會掃描 QR Code 以與您的 TOTP 驗證器共享密鑰。TOTP 應用程式是免費的,常見的包括 Google Authenticator 和 Microsoft Authenticator。如果您正在使用 安全密碼管理程式,它可能具備能產生 TOTP 代碼的整合式雙重驗證功能。Proton Pass 就是這樣一款密碼管理程式;它能安全地儲存您的密碼,並在同一個應用程式中產生您的雙重驗證代碼。
完成初始設定後,您要登入的服務和驗證 app 會進行同步,以便使用該密鑰在同一時間獨立計算出相同的代碼。當您登入時,系統會提示您輸入雙重驗證代碼。如果服務的代碼與您輸入的代碼一致,您就能成功登入。
TOTP 與其他一次性密碼之間的差異
TOTP 僅是幾種一次性密碼 (OTP) 方法中的一種。以下是 TOTP 與這些方法比較的簡要概述。您也可以找到關於 TOTP、OTP 和 HOTP 之間差異的更詳細指南。
TOTP 與 OTP 的比較
OTP 是單次使用密碼的統稱。TOTP 則是一種類型的 OTP,它使用基於時間的模型來產生 OTP 代碼。所有的 TOTP 都是 OTP,但還有其他 OTP 方法。這些包括簡訊和電子郵件代碼,以及 HOTP。每種方法在產生和傳送您的 OTP 代碼方面都有不同的方式。
TOTP 與 HOTP 的比較
基於 HMAC 的一次性密碼 (HOTP) 僅在收到請求時才產生新的 OTP 代碼。這意味著在產生新代碼之前,每個代碼都有效,這使它們更容易遭受入侵。TOTP 代碼會在 30 到 60 秒後自動重新整理,因此攻擊者用來利用被盜代碼的時間更少。
TOTP 與簡訊及電子郵件代碼的比較
簡訊 和電子郵件代碼是透過行動與網際網路傳送的,這使它們容易被攔截。如果您使用的是安全性不佳或已被入侵的網路,攻擊者可能會窺探您的活動並獲取您的 OTP 代碼。相比之下,TOTP 代碼是在裝置上產生的,不會透過任何網路傳輸,因此更加安全。
TOTP 的安全性優勢
使用 TOTP 作為您首選的 OTP 方法,能帶來幾項安全性優勢。
- 受時間限制的代碼:TOTP 代碼會在 30 到 60 秒內過期,然後產生新代碼。這使得攻擊者幾乎沒有時間使用被盜的 TOTP 代碼,因為已過期的代碼無法重複使用。
- 防攔截:TOTP 代碼是在裝置上產生的。它們不會透過網路傳輸,因此不會因為網路安全性不佳而遭到攔截。
- 外洩防護:如果您的密碼在資料外洩事件中曝光,TOTP 代碼能為防止未經授權的登入提供額外屏障。沒有您的驗證 app,攻擊者就無法存取您的帳號。
- 適用於任何智慧型手機:TOTP 直接在您的智慧型手機上即可運作——無需購買硬體權杖。只需將驗證 app 下載到您的裝置上,一切就準備就緒。
TOTP 提供了極佳的安全性,但它並不完美。遺失裝置可能會讓您無法登入帳號,因此請務必儲存備份代碼。此外,請確保您裝置的時鐘會自動與網際網路同步,因為不正確的時間設定是導致 TOTP 失敗的常見原因。
使用 TOTP 保護您的帳號安全
TOTP 透過優於其他 OTP 方法的基於時間的代碼,來增強您的帳號安全性。管理多個密碼和雙重驗證代碼不一定很麻煩——只需使用 Proton Pass,這是一款整合了 TOTP 驗證器的密碼管理程式。
Proton Pass 將密碼儲存與產生功能和 雙重驗證程式相結合,省去了登入時切換應用程式的麻煩,也無需下載額外的應用程式。它為您節省了寶貴的儲存空間,並讓您在使用雙重驗證登入時享有流暢的體驗。您在 Proton Pass 中儲存的所有內容(包括您產生的代碼)都受到強大的 端對端加密 保護。
將登入安全性提升到全新境界——立即為您的帳號啟用 TOTP,並使用 Proton Pass 儲存您的所有密碼。
