Zamana dayalı tek seferlik parolalar (TOTP'ler), standart tek seferlik parola bilgisayar algoritmasıdır. Karma tabanlı mesaj kimlik doğrulama kodu (HMAC) tek seferlik parolayı (HMAC tabanlı Tek Kullanımlık Parola veya kısaca HOTP) genişletirler.
TOTP'ler, geleneksel, daha uzun ömürlü iki faktör yerine veya yanında ek bir faktör olarak kullanılabilir. çalınabilen veya unutulabilen SMS mesajları veya fiziksel donanım belirteçleri gibi kimlik doğrulama çözümleri kolayca. Peki zamana dayalı tek seferlik şifreler tam olarak nedir? Nasıl çalışırlar?
TOTP Nedir?
TOTP, bir algoritma tarafından geçerli zamana göre oluşturulan geçici, tek kullanımlık bir şifredir. kullanıcı kimlik doğrulaması için. Hesaplarınız için temel alınan ek bir güvenlik katmanıdır. iki faktörlü kimlik doğrulama (2FA) veya çok faktörlü kimlik doğrulama
(MFA). Bu, kullanıcı adınızı ve şifrenizi girdikten sonra, zamana dayalı ve kısa ömürlü belirli bir kod girmeniz gerektiği anlamına gelir.TOTP, Greenwich Ortalama Saati'ni (GMT) kullanarak benzersiz ve sayısal bir defalık şifreyi çözmek için standart bir algoritma kullandığı için bu şekilde adlandırılmıştır. Diğer bir deyişle, parola, o dönemdeki geçerli zamandan üretilir. Kodlar ayrıca, QR kodları veya düz metin yoluyla kimlik doğrulama sunucusuna kullanıcı kaydı sırasında sağlanan paylaşılan bir sırdan veya gizli bir tohum geçiş kodundan oluşturulur.
Bu parola, onu belirli bir süre kullanması beklenen kullanıcıya gösterilir ve ardından süresi dolar. Kullanıcılar tek seferlik parolayı, kullanıcı adlarını ve normal parolayı sınırlı bir süre içinde bir oturum açma formuna girerler. Süre sona erdikten sonra, kod artık geçerli değildir ve oturum açma formunda kullanılamaz.
TOTP'ler, her 30 ila 60 saniyede bir değişen, genellikle dört ila altı basamaklı bir dizi dinamik sayısal kod içerir. İnternet Mühendisliği Görev Gücü (IETF), TOTP'yi yayımladı, burada açıklanan RFC 6238ve tek seferlik bir parola elde etmek için standart bir algoritma kullanır.
Üyeleri Açık Kimlik Doğrulama Girişimi (OATH), TOTP'nin icadının arkasındaki beyinlerdir. Yalnızca patent altında satıldı ve o zamandan beri farklı kimlik doğrulama satıcıları, standardizasyonun ardından onu pazarladı. Şu anda yaygın olarak kullanılmaktadır bulut uygulaması sağlayıcılar. Kullanıcı dostudurlar ve çevrimdışı kullanım için uygundurlar, bu da onları uçaklarda veya kapsama alanınız olmadığında kullanım için ideal kılar.
TOTP Nasıl Çalışır?
Uygulamalarınızdaki ikinci yetkilendirme faktörü olan TOTP'ler, oturum açmadan önce tek seferlik sayısal şifreleri sağlamanız gerektiğinden, hesaplarınıza ekstra bir güvenlik katmanı sağlar. Popüler olarak "yazılım belirteçleri", "yazılım belirteçleri" ve "uygulama tabanlı kimlik doğrulama" olarak adlandırılırlar ve kullanım bulurlar. kimlik doğrulama uygulamalarında beğenmek Google Kimlik Doğrulayıcı Ve doğru.
Çalışma şekli, hesap kullanıcı adınızı ve şifrenizi girdikten sonra, hesabın sahibi olduğunuzun kanıtı olarak başka bir oturum açma arayüzüne geçerli bir TOTP kodu eklemenizin istenmesidir.
Bazı modellerde, TOTP size akıllı telefonunuzdan bir SMS metin mesajı yoluyla ulaşır. Kodları, bir QR görüntüsünü tarayarak bir kimlik doğrulayıcı akıllı telefon uygulamasından da alabilirsiniz. Bu yöntem en yaygın kullanılan yöntemdir ve kodlar genellikle yaklaşık 30 veya 60 saniye sonra sona erer. Ancak, bazı TOTP'ler 120 veya 240 saniye sürebilir.
Parola, sunucunun kimlik doğrulayıcı uygulamasını kullanması yerine sizin tarafınızda oluşturulur. Bu nedenle, TOTP'nize her zaman erişebilirsiniz, böylece sunucunun her oturum açtığınızda SMS göndermesine gerek kalmaz.
TOTP'nizi alabileceğiniz başka yöntemler de vardır:
- Donanım güvenlik belirteçleri.
- Sunucudan gelen e-posta mesajları.
- Sunucudan sesli mesajlar.
TOTP zamana dayalı olduğundan ve saniyeler içinde sona erdiğinden, bilgisayar korsanlarının parolalarınızı tahmin etmek için yeterli zamanı yoktur. Bu şekilde, daha zayıf olan kullanıcı adı ve parola kimlik doğrulama sistemine ek güvenlik sağlarlar.
Örneğin, TOTP kullanan iş istasyonunuzda oturum açmak istiyorsunuz. Önce hesap için kullanıcı adınızı ve şifrenizi girersiniz ve sistem sizden bir TOTP ister. Daha sonra bunu donanım belirtecinizden veya QR görüntüsünden okuyabilir ve TOTP oturum açma alanına yazabilirsiniz. Sistem şifreyi doğruladıktan sonra, hesabınıza giriş yapmanızı sağlar.
Parolayı oluşturan TOTP algoritması, cihazınızın zaman girişini ve gizli tohum veya anahtarınızı gerektirir. TOTP'yi oluşturmak ve doğrulamak için internet bağlantısına ihtiyacınız yoktur, bu nedenle kimlik doğrulama uygulamaları çevrimdışı çalışabilir. TOTP, hesaplarını kullanmak isteyen ve uçaklarda veya ağ bağlantısının bulunmadığı uzak bölgelerde seyahat ederken kimlik doğrulamasına ihtiyaç duyan kullanıcılar için gereklidir.
TOTP Nasıl Doğrulanır?
Aşağıdaki işlem, TOTP kimlik doğrulama işleminin nasıl çalıştığına ilişkin basit ve kısa bir kılavuz sağlar.
Bir kullanıcı bulut ağ uygulaması gibi bir uygulamaya erişmek istediğinde, kullanıcı adını ve parolasını girdikten sonra TOTP'yi girmesi istenir. 2FA'nın etkinleştirilmesini talep ederler ve TOTP belirteci, OTP'yi oluşturmak için TOTP algoritmasını kullanır.
Kullanıcı belirteci istek sayfasına girer ve güvenlik sistemi TOTP'sini aynı geçerli saat ve paylaşılan sır veya anahtar kombinasyonunu kullanarak yapılandırır. Sistem iki parolayı karşılaştırır; eşleşirlerse, kullanıcının kimliği doğrulanır ve erişim izni verilir. Çoğu TOTP'nin QR kodları ve resimlerle kimlik doğrulaması yapacağını unutmamak önemlidir.
TOTP'ye karşı HMAC Tabanlı Tek Kullanımlık Şifre
HMAC tabanlı Tek Kullanımlık Parola, TOTP'nin üzerine inşa edildiği çerçeveyi sağladı. TOTP ve HOTP, her iki sistem de şifre oluşturmak için girdilerden biri olarak gizli bir anahtar kullandığından, benzerlikleri paylaşır. Ancak TOTP diğer girdi olarak şimdiki zamanı kullanırken, HOTP bir sayaç kullanır.
Ayrıca, güvenlik açısından TOTP, HOTP'den daha güvenlidir çünkü oluşturulan parolaların süresi 30 ila 60 saniye sonra sona erer ve ardından yeni bir parola oluşturulur. HOTP'de parola, siz onu kullanana kadar geçerli kalır. Bu nedenle, birçok bilgisayar korsanı HOTP'lere erişebilir ve bunları başarılı siber saldırılar gerçekleştirmek için kullanabilir. HOTP hala bazı kimlik doğrulama hizmetleri tarafından kullanılsa da, çoğu popüler kimlik doğrulama uygulaması TOTP gerektirir.
TOTP Kullanmanın Faydaları Nelerdir?
TOTP'ler faydalıdır çünkü size ek bir güvenlik katmanı sağlarlar. Kullanıcı adı-şifre sistemi tek başına zayıftır ve genellikle Ortadaki Adam saldırıları. Ancak TOTP tabanlı 2FA/MFA sistemlerinde bilgisayar korsanlarının TOTP'nize erişmek için yeterli zamanı yoktur. geleneksel parolanızı çalmış olsalar bile, bu nedenle parolanızı ele geçirmek için çok az şansları olur. hesaplar.
TOTP Kimlik Doğrulaması Ek Güvenlik Sağlar
Siber suçlular, kullanıcı adınıza ve şifrenize kolayca erişebilir ve hesabınızı ele geçirebilir. Ancak, TOTP tabanlı 2FA/MFA sistemleriyle daha güvenli bir hesaba sahip olabilirsiniz çünkü TOTP'ler zamana bağlıdır ve saniyeler içinde sona erer. TOTP'yi uygulamak açıkça buna değer.
