خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

رمز عبور یکبار مصرف مبتنی بر زمان چیست و آیا باید از آن استفاده کرد؟

ارشیا یوسفی ادیب ۷ دی, ۱۴۰۱ 6 min read

چگونه می توانید امنیت بیشتری را برای حساب های آنلاین خود فراهم کنید؟ احراز هویت اضافی با استفاده از TOTP ممکن است راه حل باشد.

رمزهای عبور یک بار مصرف مبتنی بر زمان (TOTP) الگوریتم استاندارد رایانه رمز عبور یک بار مصرف هستند. آنها کد احراز هویت پیام مبتنی بر هش (HMAC) رمز عبور یکبار مصرف (HMAC-based One-time Password یا به اختصار HOTP) را گسترش می دهند.

TOTP ها را می توان به جای یا به عنوان یک عامل اضافی در کنار راه حل های سنتی و با عمر طولانی تر احراز هویت دو مرحله ای، مانند پیام های SMS یا توکن های سخت افزاری فیزیکی که به راحتی به سرقت رفته یا فراموش می شوند، استفاده کرد. بنابراین رمزهای عبور یکبار مصرف مبتنی بر زمان دقیقاً چیست؟ چطورکار می کنند؟

TOTP چیست؟

TOTP یک رمز عبور موقت و یکبار مصرف است که مطابق با زمان فعلی توسط یک الگوریتم برای احراز هویت کاربر ایجاد می شود. این یک لایه امنیتی اضافی برای حساب های شما است که بر اساس احراز هویت دو مرحله ای (2FA) یا تأیید هویت چند مرحله ای (MFA) است. به این معنی که پس از وارد کردن نام کاربری و رمز عبور، باید کد خاصی را وارد کنید که مبتنی بر زمان و کوتاه مدت است.

TOTP به این دلیل نامگذاری شده است که از یک الگوریتم استاندارد برای ایجاد یک رمز عبور منحصر به فرد و عددی با استفاده از میانگین زمان گرینویچ (GMT) استفاده می کند. یعنی رمز عبور از زمان فعلی در آن دوره تولید می شود. کدها همچنین از طریق رمزهای QR یا متن ساده از طریق رمزهای QR یا متن ساده از یک رمز مشترک یا یک رمز عبور اولیه مخفی که هنگام ثبت نام کاربر در سرور احراز هویت ارائه می شود، تولید می شوند.

کد Qr در Screengrab

این رمز به کاربر نشان داده می شود که انتظار می رود برای مدت مشخصی از آن استفاده کند و پس از آن منقضی می شود. کاربران رمز عبور یکبار مصرف، نام کاربری و رمز عبور معمولی خود را در مدت زمان محدودی در فرم ورود وارد می کنند. پس از انقضا، کد دیگر معتبر نیست و نمی توان از آن در فرم ورود استفاده کرد.

مطلب مرتبط:   5 راه امکان تقلب در بلاک چین

TOTP ها شامل رشته ای از کدهای عددی پویا هستند که معمولاً بین چهار تا شش رقم است که هر 30 تا 60 ثانیه تغییر می کند. گروه وظیفه مهندسی اینترنت (IETF) TOTP را منتشر کرد که در RFC 6238 توضیح داده شده است و از یک الگوریتم استاندارد برای به دست آوردن یک رمز عبور یک بار مصرف استفاده می کند.

اعضای Initiative for Open Authentication (OATH) مغزهای پشت اختراع TOTP هستند. این به طور انحصاری تحت اختراع فروخته شد و فروشندگان مختلف احراز هویت از آن زمان به دنبال استانداردسازی آن را به بازار عرضه کردند. در حال حاضر به طور گسترده توسط ارائه دهندگان برنامه های ابری استفاده می شود. آنها کاربر پسند هستند و برای استفاده آفلاین در دسترس هستند، که آنها را برای استفاده در هواپیما یا زمانی که پوشش شبکه ندارید ایده آل می کند.

TOTP چگونه کار می کند؟

صفحه نمایش لپ تاپ برنامه نویسی قفل شده

TOTP ها به عنوان دومین عامل مجوز در برنامه های شما، یک لایه امنیتی اضافی برای حساب های شما فراهم می کنند، زیرا باید رمزهای عبور عددی یکبار مصرف را قبل از ورود به سیستم ارائه دهید. آنها معمولا “نرم افزار توکن”، “نرم افزار توکن” نامیده می شوند. “، و “تأیید هویت مبتنی بر برنامه” و در برنامه های احراز هویت مانند Google Authenticator و Authy استفاده کنید.

روش کار به این صورت است که پس از وارد کردن نام کاربری و رمز عبور حساب خود، از شما خواسته می‌شود که یک کد TOTP معتبر را به یک رابط ورود به سیستم دیگر اضافه کنید تا اثبات کند که شما صاحب حساب هستید.

در برخی مدل‌ها، TOTP از طریق یک پیام متنی به شما در تلفن هوشمندتان می‌رسد. همچنین می توانید با اسکن یک تصویر QR، کدها را از یک برنامه تلفن هوشمند احراز هویت دریافت کنید. این روش پرکاربردترین است و کدها معمولا پس از حدود 30 یا 60 ثانیه منقضی می شوند. با این حال، برخی از TOTP ها می توانند 120 یا 240 ثانیه دوام بیاورند.

رمز عبور در انتهای شما به جای سرور با استفاده از برنامه احراز هویت ایجاد می شود. به همین دلیل، شما همیشه به TOTP خود دسترسی دارید تا سرور نیازی به ارسال اس ام اس در زمان ورود به سیستم نداشته باشد.

مطلب مرتبط:   آیا "کلاهبرداری احتمالی" با شما تماس می گیرد؟ در اینجا نحوه مسدود کردن آنها آورده شده است

روش های دیگری وجود دارد که از طریق آنها می توانید TOTP خود را دریافت کنید:

  • توکن های امنیتی سخت افزاری
  • پیام های ایمیل از سرور.
  • پیام های صوتی از سرور

از آنجایی که TOTP مبتنی بر زمان است و در عرض چند ثانیه منقضی می‌شود، هکرها زمان کافی برای پیش‌بینی رمزهای عبور شما ندارند. به این ترتیب، آنها امنیت بیشتری را برای سیستم احراز هویت نام کاربری و رمز عبور ضعیف‌تر فراهم می‌کنند.

سرقت اطلاعات ورود به سیستم از قفل باز شده

به عنوان مثال، شما می خواهید وارد ایستگاه کاری خود شوید که از TOTP استفاده می کند. ابتدا نام کاربری و رمز عبور خود را برای حساب وارد می‌کنید و سیستم از شما می‌خواهد TOTP را دریافت کنید. سپس می‌توانید آن را از روی نشانه سخت‌افزاری یا تصویر QR بخوانید و آن را در قسمت ورود به سیستم TOTP تایپ کنید. پس از اینکه سیستم رمز عبور را احراز هویت کرد، شما را وارد حساب کاربری خود می کند.

الگوریتم TOTP که رمز عبور را تولید می کند به ورودی زمان دستگاه شما و دانه یا کلید مخفی شما نیاز دارد. برای تولید و تأیید TOTP نیازی به اتصال اینترنت ندارید، به همین دلیل است که برنامه های احراز هویت می توانند به صورت آفلاین کار کنند. TOTP برای کاربرانی که می‌خواهند از حساب‌های خود استفاده کنند و در طول سفر در هواپیما یا در مناطق دورافتاده‌ای که اتصال شبکه در دسترس نیست، نیاز به احراز هویت دارند، ضروری است.

چگونه TOTP احراز هویت می شود؟

فرآیند زیر یک راهنمای ساده و مختصر در مورد نحوه عملکرد فرآیند احراز هویت TOTP ارائه می دهد.

هنگامی که کاربر می خواهد به برنامه ای مانند برنامه شبکه ابری دسترسی داشته باشد، پس از وارد کردن نام کاربری و رمز عبور، از او خواسته می شود تا TOTP را وارد کند. آنها درخواست می کنند که 2FA فعال شود و توکن TOTP از الگوریتم TOTP برای تولید OTP استفاده می کند.

کاربر رمز را در صفحه درخواست وارد می کند و سیستم امنیتی TOTP خود را با استفاده از همان ترکیب زمان فعلی و رمز یا کلید مشترک پیکربندی می کند. سیستم دو رمز عبور را مقایسه می کند. اگر مطابقت داشته باشند، کاربر احراز هویت می شود و به آن دسترسی داده می شود. توجه به این نکته مهم است که اکثر TOTP با کدهای QR و تصاویر احراز هویت می‌شوند.

مطلب مرتبط:   این برنامه دوستیابی ممکن است داده های بسیار خصوصی را فاش کرده باشد: اکنون حساب خود را بررسی کنید

TOTP در مقابل گذرواژه یکبار مصرف مبتنی بر HMAC

فیلد رمز عبور با نماد قفل روی آن

گذرواژه یک بار مصرف مبتنی بر HMAC چارچوبی را ارائه می دهد که TOTP بر اساس آن ساخته شده است. هر دو TOTP و HOTP شباهت‌هایی دارند، زیرا هر دو سیستم از یک کلید مخفی به عنوان یکی از ورودی‌های تولید رمز عبور استفاده می‌کنند. با این حال، در حالی که TOTP از زمان جاری به عنوان ورودی دیگر استفاده می کند، HOTP از یک شمارنده استفاده می کند.

علاوه بر این، از نظر امنیت، TOTP از HOTP ایمن تر است زیرا پسوردهای تولید شده پس از 30 تا 60 ثانیه منقضی می شوند و پس از آن رمز عبور جدید ایجاد می شود. در HOTP، رمز عبور تا زمانی که از آن استفاده نکنید معتبر باقی می ماند. به همین دلیل، بسیاری از هکرها می توانند به HOTP ها دسترسی داشته باشند و از آنها برای انجام حملات سایبری موفق استفاده کنند. حتی اگر HOTP هنوز توسط برخی از سرویس های احراز هویت استفاده می شود، اکثر برنامه های احراز هویت محبوب به TOTP نیاز دارند.

مزایای استفاده از TOTP چیست؟

TOTP ها سودمند هستند زیرا یک لایه امنیتی اضافی برای شما فراهم می کنند. سیستم نام کاربری-رمز عبور به تنهایی ضعیف است و معمولاً در معرض حملات Man-in-the-Middle قرار می گیرد. با این حال، با سیستم‌های 2FA/MFA مبتنی بر TOTP، هکرها حتی اگر رمز عبور سنتی شما را دزدیده باشند، زمان کافی برای دسترسی به TOTP شما ندارند، بنابراین فرصت کمی برای هک کردن حساب‌های شما دارند.

احراز هویت TOTP امنیت اضافی را فراهم می کند

مجرمان سایبری می توانند به راحتی به نام کاربری و رمز عبور شما دسترسی پیدا کنند و حساب شما را هک کنند. با این حال، با سیستم‌های 2FA/MFA مبتنی بر TOTP، می‌توانید حساب امن‌تری داشته باشید، زیرا TOTP‌ها محدود به زمان هستند و در عرض چند ثانیه منقضی می‌شوند. پیاده سازی TOTP به وضوح ارزش آن را دارد.

Tags: