Op tijd gebaseerde eenmalige wachtwoorden (TOTP's) zijn het standaard computeralgoritme voor eenmalige wachtwoorden. Ze breiden uit op het op hash gebaseerde berichtverificatiecode (HMAC) eenmalig wachtwoord (HMAC-gebaseerd eenmalig wachtwoord, of kortweg HOTP).
TOTP's kunnen worden gebruikt in plaats van, of als een aanvullende factor naast, traditionele, langer bestaande tweefactoren authenticatieoplossingen, zoals sms-berichten of fysieke hardwaretokens die kunnen worden gestolen of vergeten gemakkelijk. Dus wat zijn op tijd gebaseerde eenmalige wachtwoorden precies? Hoe werken ze?
Wat is een TOTP?
TOTP is een tijdelijke toegangscode voor eenmalig gebruik die door een algoritme wordt gegenereerd in lijn met de huidige tijd voor gebruikersauthenticatie. Het is een extra beveiligingslaag voor uw accounts die is gebaseerd op tweefactorauthenticatie (2FA) of
meervoudige authenticatie (MFA). Dit betekent dat nadat u uw gebruikersnaam en wachtwoord hebt ingevoerd, u een bepaalde code moet invoeren die op tijd is gebaseerd en van korte duur is.TOTP is zo genoemd omdat het een standaardalgoritme gebruikt om een unieke en numerieke eenmalige toegangscode uit te werken met behulp van Greenwich Mean Time (GMT). Dat wil zeggen, de toegangscode wordt gegenereerd op basis van de huidige tijd gedurende die periode. De codes worden ook gegenereerd op basis van een gedeeld geheim of een geheime seed-toegangscode die wordt verstrekt bij gebruikersregistratie bij de authenticatieserver, hetzij via QR-codes of platte tekst.
Deze toegangscode wordt getoond aan de gebruiker, die deze naar verwachting gedurende een bepaalde tijd zal gebruiken, waarna deze vervalt. Gebruikers voeren binnen een beperkte tijd de eenmalige toegangscode, hun gebruikersnaam en het reguliere wachtwoord in op een inlogformulier. Na het verlopen is de code niet meer geldig en kan niet worden gebruikt op een inlogformulier.
TOTP's bevatten een reeks dynamische numerieke codes, meestal tussen vier en zes cijfers, die elke 30 tot 60 seconden veranderen. De Internet Engineering Task Force (IETF) heeft TOTP gepubliceerd, beschreven in RFC 6238, en gebruikt een standaardalgoritme om een eenmalig wachtwoord te verkrijgen.
Leden van de Initiatief voor Open Authenticatie (OATH) zijn het brein achter de uitvinding van TOTP. Het werd exclusief onder patent verkocht en verschillende authenticatieleveranciers hebben het sindsdien op de markt gebracht volgens standaardisatie. Het wordt momenteel veel gebruikt door cloud-applicatie aanbieders. Ze zijn gebruiksvriendelijk en beschikbaar voor offline gebruik, waardoor ze ideaal zijn voor gebruik in vliegtuigen of wanneer je geen netwerkdekking hebt.
Hoe werkt een TOTP?
TOTP's, als de tweede autorisatiefactor voor uw apps, bieden uw accounts een extra beveiligingslaag omdat u de eenmalige numerieke toegangscodes moet opgeven voordat u bent ingelogd. Ze worden in de volksmond "softwaretokens", "soft tokens" en "app-gebaseerde authenticatie" genoemd en vinden gebruik in authenticatie-apps leuk vinden Google-authenticator En Authentiek.
De manier waarop het werkt, is dat nadat u de gebruikersnaam en het wachtwoord van uw account hebt ingevoerd, u wordt gevraagd een geldige TOTP-code toe te voegen aan een andere inloginterface als bewijs dat u de eigenaar van het account bent.
Bij sommige modellen ontvangt u de TOTP op uw smartphone via een sms-bericht. U kunt de codes ook verkrijgen via een smartphone-applicatie voor authenticatie door een QR-afbeelding te scannen. Deze methode wordt het meest gebruikt en de codes verlopen meestal na ongeveer 30 of 60 seconden. Sommige TOTP's kunnen echter 120 of 240 seconden duren.
De toegangscode wordt aan uw kant gemaakt in plaats van dat de server de authenticatietoepassing gebruikt. Hierdoor heb je altijd toegang tot je TOTP, zodat de server geen sms hoeft te sturen als je inlogt.
Er zijn andere methoden waarmee u uw TOTP kunt krijgen:
- Hardware-beveiligingstokens.
- E-mailberichten van de server.
- Spraakberichten van de server.
Omdat de TOTP tijdgebaseerd is en binnen enkele seconden verloopt, hebben hackers niet genoeg tijd om op uw toegangscodes te anticiperen. Op die manier bieden ze extra beveiliging voor het zwakkere authenticatiesysteem voor gebruikersnaam en wachtwoord.
U wilt bijvoorbeeld inloggen op uw werkstation dat gebruikmaakt van TOTP. U voert eerst uw gebruikersnaam en wachtwoord voor het account in en het systeem vraagt u om een TOTP. U kunt het vervolgens lezen van uw hardwaretoken of de QR-afbeelding en het in het TOTP-inlogveld typen. Nadat het systeem de toegangscode heeft geverifieerd, logt het u in op uw account.
Het TOTP-algoritme dat de toegangscode genereert, vereist de tijdinvoer van uw apparaat en uw geheime seed of sleutel. U hebt geen internetverbinding nodig om de TOTP te genereren en te verifiëren, daarom kunnen authenticatie-apps offline werken. TOTP is noodzakelijk voor gebruikers die hun accounts willen gebruiken en authenticatie nodig hebben tijdens reizen in vliegtuigen of in afgelegen gebieden waar geen netwerkverbinding beschikbaar is.
Hoe wordt TOTP geverifieerd?
Het volgende proces biedt een eenvoudige en korte handleiding over hoe het TOTP-authenticatieproces werkt.
Wanneer een gebruiker toegang wil tot een applicatie zoals een cloudnetwerkapplicatie, wordt hij/zij gevraagd om de TOTP in te voeren nadat hij zijn gebruikersnaam en wachtwoord heeft ingevoerd. Ze vragen dat 2FA wordt ingeschakeld en het TOTP-token gebruikt het TOTP-algoritme om de OTP te genereren.
De gebruiker voert het token in op de aanvraagpagina en het beveiligingssysteem configureert zijn TOTP met dezelfde combinatie van de huidige tijd en het gedeelde geheim of de sleutel. Het systeem vergelijkt de twee toegangscodes; als ze overeenkomen, wordt de gebruiker geverifieerd en krijgt hij toegang. Het is belangrijk op te merken dat de meeste TOTP's authenticeren met QR-codes en afbeeldingen.
TOTP vs. Op HMAC gebaseerd eenmalig wachtwoord
Het op HMAC gebaseerde eenmalige wachtwoord vormde het raamwerk waarop TOTP was gebouwd. Zowel TOTP als HOTP hebben overeenkomsten, aangezien beide systemen een geheime sleutel gebruiken als een van de ingangen voor het genereren van de toegangscode. Terwijl TOTP echter de huidige tijd gebruikt als de andere invoer, gebruikt HOTP een teller.
Verder is TOTP qua beveiliging veiliger dan HOTP omdat de gegenereerde wachtwoorden na 30 tot 60 seconden verlopen, waarna er een nieuwe wordt gegenereerd. In HOTP blijft de toegangscode geldig totdat u deze gebruikt. Om deze reden hebben veel hackers toegang tot HOTP's en kunnen ze deze gebruiken om succesvolle cyberaanvallen uit te voeren. Hoewel HOTP nog steeds door sommige authenticatieservices wordt gebruikt, vereisen de meeste populaire authenticatie-apps TOTP.
Wat zijn de voordelen van het gebruik van een TOTP?
TOTP's zijn voordelig omdat ze u een extra beveiligingslaag bieden. Alleen het gebruikersnaam-wachtwoordsysteem is zwak en wordt vaak gebruikt Man-in-the-middle-aanvallen. Met de op TOTP gebaseerde 2FA/MFA-systemen hebben de hackers echter niet genoeg tijd om toegang te krijgen tot uw TOTP zelfs als ze uw traditionele wachtwoord hebben gestolen, hebben ze dus weinig kans om uw wachtwoord te hacken rekeningen.
TOTP-authenticatie biedt extra beveiliging
Cybercriminelen hebben gemakkelijk toegang tot uw gebruikersnaam en wachtwoord en kunnen uw account hacken. Met de op TOTP gebaseerde 2FA/MFA-systemen kunt u echter een veiliger account hebben omdat TOTP's tijdgebonden zijn en binnen enkele seconden verlopen. Het implementeren van TOTP is duidelijk de moeite waard.
