Totp что это

В этом алгоритме мы сначала получаем смещение, которое является последними 4 битами hmacHash [19] . После этого мы объединяем байты из hmacHash [offset] в hmacHash [offset + 3] и сохраняем последний 31 бит в truncatedHash . Наконец, используя простую операцию по модулю, мы получаем одноразовый пароль разумной длины.

Это в значительной степени определяет алгоритм HOTP. Документ RFA4226 объясняет, почему это наиболее безопасный способ получить одноразовый пароль из этих двух значений.

Итак, мы нашли способ получить одноразовый пароль с помощью секретного ключа и счетчика. А как следить за счетчиком? Ответ на этот вопрос находится в TOTP. TOTP переводится как «Одноразовый пароль на основе времени». Он был опубликован IETF как RFC6238. TOTP использует алгоритм HOTP для получения одноразового пароля. Единственная разница в том, что здесь вместо «счетчика» используется «время», и это дает решение нашей проблемы. Это означает, что вместо инициализации счетчика и его отслеживания мы можем использовать время в качестве счетчика в алгоритме HOTP для получения OTP. Поскольку и сервер, и телефон имеют доступ ко времени, ни один из них не должен отслеживать счетчик. Кроме того, чтобы избежать проблемы с разными часовыми поясами сервера и телефона, мы можем использовать временную метку Unix, которая не зависит от часовых поясов. Однако время Unix определяется в секундах, поэтому оно меняется каждую секунду. Это означает, что сгенерированный пароль будет меняться каждую секунду, что не очень хорошо. Вместо этого нам нужно добавить значительный интервал перед изменением пароля. Например, приложение Google Authenticator меняет код каждые 30 секунд.

counter = currentUnixTime / 30

Итак, мы решили проблему счетчика. Теперь нам нужно решить нашу третью проблему: поделиться секретным ключом с приложением телефона. Здесь нам может помочь QR-код. Хотя есть возможность попросить пользователей вводить секретный ключ напрямую в приложение телефона, безопасность ключа зависит от его длины, и пользователю будет неудобно вводить такую длинную строку. Поскольку большинство смартфонов оснащено камерой, пользователь может использовать ее для того, чтобы отсканировать QR-код, и получить от него секретный ключ. Все, что для этого нужно – преобразовать секретный ключ в QR-код и показать его пользователю. В настоящее время есть несколько бесплатных телефонных приложений (например, Google Authenticator App, Authy и т.д.), которые могут генерировать одноразовый пароль для пользователя. Поэтому в большинстве случаев создавать собственное телефонное приложение не нужно. Следующие псевдокоды объясняют способ реализации двухфакторной аутентификации на основе TOTP в веб-приложении.

When user request to enable 2-factor authentication // Generate a secret key of length 20.secretKey = generateSecretKey (20); // Save that secret key in database for this particular user. SaveUserSecretKey (userId, secretKey); // convert that secret key into qr image.qrCode = convertToQrCode (secretKey); // send the qr image as responseresponse (qrCode);

Пользователя просят отсканировать этот QR-код. Когда приложение телефона сканирует QR-код, оно получает секретный ключ пользователя. Используя этот секретный ключ, текущее время Unix и алгоритм HOTP, приложение телефона сгенерирует и отобразит пароль. Затем система просит пользователя ввести сгенерированный код после сканирования QR-кода. Это необходимо, чтобы убедиться, что пользователь успешно отсканировал изображение и приложение для телефона успешно сгенерировало код.

User types the code displayed in the application. // Fetch secret key from database.secretKey = getSecretKeyOfUser (userId); if (codeTypedByUser == getHOTP (secretKey, currentUnixTime / 30))

Здесь используется алгоритм HOTP на стороне сервера, чтобы получить аутентификацию на основе OTP по секретному ключу и текущему времени Unix. Если этот OTP совпадает с введенным пользователем, то появляется возможность включить двухфакторную аутентификацию для этого пользователя. Теперь, после каждой операции входа в систему, проверяется, включена ли для этого конкретного пользователя двухфакторная аутентификация. Если да, то запрашивается одноразовый пароль, отображаемый в приложении телефона. И если этот набранный код правильный, только тогда пользователь аутентифицируется.

User types the code displayed in the phone application to login // Fetch secret key from database.secretKey = getSecretKeyOfUser (userId); if (codeTypedByUser == getHOTP (secretKey, currentUnixTime))

Если пользователь потеряет код, есть несколько способов помочь пользователю восстановить его. Обычно, когда они включают двухфакторную аутентификацию, есть возможность показать секретный ключ вместе с QR-кодом и попросить их сохранить этот код в безопасном месте. Такие приложения, как Google Authenticator App, позволяют сгенерировать пароль путем прямого ввода секретного ключа. Если пользователь потеряет код, он может ввести этот надежно сохраненный секретный ключ в приложение телефона, чтобы снова сгенерировать одноразовый пароль. При наличии номера телефона пользователя возможно использовать метод на основе SMS, чтобы отправить пользователю одноразовый пароль, чтобы помочь ему восстановить код.

Двухфакторная аутентификация набирает популярность. Многие веб-приложения реализуют его для дополнительной безопасности. В отличие от метода на основе SMS, метод TOTP также не требует особых усилий. Так что эту функцию стоит реализовать для любого приложения.

• totp
• двухфакторная аутентификация

• Информационная безопасность
• Алгоритмы

Что такое двухфакторная аутентификация?

Двухфакторная аутентификация (2FA / MFA) — это механизм безопасности, который обеспечивает дополнительный уровень защиты доступа к учетным записям пользователей. Двухфакторная аутентификация работает путем использования дополнительного фактора, такого как смартфон или аппаратный OTP токен, для подтверждения личности пользователя.

Использьзование дополнительного фактора аутентификации позволяет защитить аккаунт от несанкционированного доступа, даже если злоумышленник получит доступ к паролю. Двухфакторная аутентификация обеспечивает высокий уровень безопасности учетной записи и снижает риск несанкционированного доступа к аккаунту.

Как работает двухфакторная аутентификация?

При использовании двухфакторной аутентификации (2FA) пользователь вводит свой пароль как обычно. Однако, чтобы получить доступ к своей учетной записи, ему нужно выполнить дополнительный шаг аутентификации. На втором этапе аутентификации пользователь вводит одноразовый пароль, который генерируется с помощью 2FA приложения или аппаратного OTP-токена. Одноразовый пароль также может быть получен через чат-бот в мессенджере, SMS или электронную почту, в зависимости от типа токена, который выбрал пользователь.

1. Пользователь вводит пароль;
2. Пользователь вводит одноразовый код с аппаратного OTP-токена или телефона;
3. Одноразовый пароль отправляется через API в Protectimus;
4. В режиме реального времени, происходит проверка ОТР и пользователя, после чего моментально возвращается положительный или отрицательный ответ вашему приложению;
5. Если оба пароля верны, пользователь получает доступ к своей учетной записи.

Зачем нужна двухфакторная аутентификация?

С увеличением числа онлайн-угроз, таких как фишинг, социальная инженерия, кража личных данных, а также с увеличением сложности хакерских техник, пароли перестали быть надежным средством защиты конфиденциальных данных. Злоумышленники получают доступ к аккаунтам пользователей, угадывая, перехватывая или взламывая пароли с помощью хакерских атак, а пользователи могут даже не догадываться, что их пароли уже взломаны.

Здесь на помощь приходит двухфакторная аутентификация. 2FA добавляет дополнительный уровень защиты, что значительно усложняет возможность несанкционированного доступа к учетной записи, даже если пароль скомпрометирован. Одноразовые пароли, которые используются в качестве второго фактора аутентификации, уникальны и действуют только в течение короткого периода, обычно 30 секунд.

И даже больше, если для доставки одноразовых паролей используются чат-боты, push-уведомления, SMS или Email аутентификация, то пользователь немедленно получит уведомление на свой телефон, если будет зафиксирована несанкционированная попытка входа в его учетную запись.

Какие методы двухфакторной аутентификации мы поддерживаем?

Мы предлагаем несколько способов аутентификации, чтобы вы могли выбрать наиболее удобный и надежный для ваших пользователей.

В разделе Токены доступна дополнительная информация.

• iOS приложение для 2FA Protectimus SMART OTP;
• Android приложение для 2FA Protectimus SMART OTP;
• Программируемые аппаратные OTP-токены Protectimus SLIM и Protectimus FLEX;
• Классические аппаратные OTP-токены Protectimus TWO;
• Чат-боты в мессенджерах Messenger, Telegram и Viber;
• SMS-аутентификация;
• Email-аутентификация.

Какие алгоритмы аутентификации мы используем?

Решение для многофакторной аутентификации Protectimus поддерживает все стандартные алгоритмы Инициативы OATH (Initiative for Open Authentication) — HOTP, TOTP и OCRA. Это стандартные алгоритмы генерации одноразовых паролей, которые хорошо зарекомендовали себя в индустрии обеспечения многофакторной аутентификации, широко распространены и обладают надежной защитой. Как координирующий член Инициативы OATH, мы гарантируем, что решение двухфакторной аутентификации Protectimus открытое, безопасное и удобное в использовании.

• HOTP (HMAC-based One-Time Password) — это алгоритм, который генерирует одноразовые пароли на основе секретного ключа и счетчика.
• TOTP (Time-based One-Time Password) генерирует OTP-коды на основе секретного ключа и текущего времени. Пароль TOTP действителен только в течение короткого периода, обычно 30 секунд, и новый пароль генерируется автоматически по истечении этого периода.
• OCRA (OATH Challenge-Response Algorithm) генерирует одноразовые пароли на основе секретного ключа и случайного значения, полученного от сервера. Этот алгоритм используется как для аутентификации при входе в учетную запись, так и для верификации транзакций. Функция подписи данных Protectimus Confirm What You See (CWYS) основана на алгоритме OCRA. Функция CWYS позволяет верифицировать и подписывать транзакции.

Как подключить 2-факторную аутентификацию Protectimus

1. Регистрация в Облачном сервисе Protectimus или установка Локальной платформы Protectimus;
2. Активация API в один клик;
3. Добавление пользователей или синхронизация системы двухфакторной аутентификации Protectimus с AD/LDAP;
4. Выпуск токенов и назначение их пользователям;
5. Интеграция Protectimus в вашу инфраструктуру с помощью доступных плагинов, готовых библиотек для основных языков программирования и хорошо документированного API.

Дополнительная информация по интеграции и настройке доступна в разделах Интеграции и Инструкции.

У вас остались вопросы? Свяжитесь с нашей службой поддержки, и вы получите быстрый ответ.

База знаний

Сегодня, когда интернет-пользователи ищут новые способы обеспечить безопасность своим данным и предотвратить хакерские атаки на конфиденциальную информацию, аутентификация на основе одноразовых паролей – первое средство защиты, которое приходит на ум. Но что же такое OTP пароль? Аббревиатура «OTP» расшифровывается как «one time password» и переводится, как «одноразовый пароль». Этот инструмент используется для внедрения более сильных алгоритмов аутентификации. Двухфакторная аутентификация от Protectimus со специально разработанными токенами значительно усилит защиту ваших данных.

При регистрации на любом сайте, где храниться информация о пользователе, его просят создать пароль аутентификации. Многие полагают, что уникальный пароль надежно защищает информацию. Но уникальность пользовательских паролей слишком переоценена. При создании большинства из них мы используем логику: паролями становятся даты, телефонные номера, фамилии. Такой код аутентификации легко подсмотреть, украсть или вычислить. Но существует и альтернативная система защиты данных – одноразовые пароли, с ними информация будет под надежной защитой, ведь временный пароль действителен только один раз.

Наконец вы решили обеспечить максимальную безопасность своему проекту, внедрив аутентификацию на основе одноразовых паролей. Естественно возникает вопрос – как получить одноразовый код? Для этого понадобится специально разработанный генератор одноразовых паролей «токен». В качестве токена может выступать, как специально спроектированный аппарат, так и гаджет, которым вы постоянно пользуетесь. Итак, чтобы начать использовать OTP пароли, нужно: зарегистрироваться на сайте Protectimus, выбрать подходящий токен, и получать одноразовые пароли при каждой аутентификации.

Токен или генератор одноразовых паролей — это устройство или приложение, которое использует определенный алгоритм генерации OTP для создания одноразового пароля при поступлении запроса от пользователя. Токены – это очень удобное решение для генерации одноразовых паролей, так как приставляют собой автономные устройства, работающие без доступа к сети. Аппаратные токены для аутентификации на основе одноразовых паролей могут использовать разные алгоритмы, например, основанный на времени алгоритм аутентификации TOTP, и т.д.

Получить одноразовый пароль для прохождения аутентификации можно разными способами. Но задача, для осуществления которой они были изобретены, одна — защита данных пользователя. Инструменты, с помощью которых можно получить одноразовый код, могут кардинально отличаться друг от друга: они бывают аппаратными и программными, для простых или сложных задач, требуют подключения к интернету, или работают офлайн. Как правило, если у вас есть токен, то доступ к сети не нужен. Все аппаратные и программные токены Protectimus, а именно ONE, SLIM, ULTRA и SMART, можно использовать офлайн.

Аппаратные TOTP токены с поддержкой алгоритма SHA-256

Protectimus SHARK Классический аппаратный TOTP-токен в форме брелока с поддержкой алгоритма хэширования SHA-256. OTP токен Protectimus SHARK генерирует одноразовые пароли в соответствии со стандартом TOTP OATH с использованием алгоритма SHA-256 для дополнительной безопасности. TOTP токены SHARK поставляются со встроенными секретными ключами.

Аппаратные TOTP токены Protectimus SHARK обеспечивают исключительную безопасность благодаря поддержке стандарта генерации одноразовых паролей TOTP (RFC 6238) и алгоритма хэширования SHA-256 в соответствии с требованиями OATH.

Алгоритм хэширования SHA-256 считается более безопасным, чем SHA-1, и обеспечивает еще лучшую защиту от брутфорса и подобных атак. Это и есть основным преимуществом 2FA токена Protectimus SHARK по сравнению с другими аппаратными TOTP токенами.

Важно отметить, что MFA токены Protectimus SHARK производятся и поставляются со встроенными секретными ключами, которые невозможно перепрошить.

Вы можете использовать Protectimus SHARK с облачным сервисом двухфакторной аутентификации Protectimus, локальной платформой Protectimus или любым другим сервисом двухфакторной аутентификации, который поддерживает TOTP-токены с алгоритмом SHA256.

Поддержка алгоритма SHA-256

Алгоритм SHA-256 обеспечивает более высокий уровень безопасности, чем SHA-1. SHA-256 предлагает улучшенную защиту от брутфорса и подобных киберугроз. Аппаратный TOTP токен Protectimus SHARK обеспечит безопасность ваших данных с помощью новейших и самых надежных технологий двухфакторной аутентификации.

Защита от падения и влаги

2FA токен Protectimus SHARK отличается прочной конструкцией и водонепроницаемостью. Токен полностью защищен от попадания пыли, может работать даже при погружении в воду на глубину до 1 метра, а его прочная конструкция защищает токен от повреждений в случае падения с небольшой высоты.

Удобный дизайн

MFA токен Protectimus SHARK также отличается эргономичным, стильным и функциональным дизайном. OTP токен удобно носить на связке ключей, так что вы никогда не потеряете его и не забудете. Аппаратный TOTP токен Protectimus SHARK — это компактный, стильный и практичный брелок для двухфакторной аутентификации.

Specifications

• Поддерживаемые алгоритмы аутентификации: TOTP (RFC 6238); SHA-256;
• Соответствие стандартам OATH;
• Поддерживаются секретные ключи длиной 32 символа (Base32);
• Размер: 28.62 мм х 61.62 мм х 8.9 мм;
• Вес: 16.1 г;
• Тип дисплея: LED, 6 цифр с индикатором времени жизни OTP и заряда батареи;
• Уровень пыле- и влагозащищенности: IP67;
• Возможность брендирования при заказе от 1000 шт.;
• Гарантийный срок: 12 месяцев;
• Индикатор заряда батареи.
• Заряда батареи 2FA токена хватает на 3-5 лет.

Download

Как купить?

Вы с легкостью можете стать счастливым обладателем данного устройства. По вашему желанию мы можем разместить логотип и иные визуальные атрибуты вашей компании на устройстве, также может быть выбран цвет токена. Производство токенов согласно заданным атрибутам требует дополнительные 3-4 недели.

Стоимость токенов не включает стоимость доставки и другие дополнительные платежи, такие как налоги и таможенные сборы.

Длительность доставки зависит от нескольких факторов, а именно: объем партии, наличия токенов на нашем складе, почтовой службы. Также на срок доставки влияет необходимость размещения дополнительных визуальных атрибутов на изделиях. При наличии необходимого объема на складе доставка, обычно, осуществляется в срок от 2 до 6 недель.

Для заказа, пожалуйста, заполните форму и наш специалист в кратчайшие сроки свяжется с вами.

Смотрите также

$3 при оплате сервиса на год

$3 при оплате сервиса на год
База знаний

Алгоритм SHA-256 обеспечивает более высокий уровень безопасности по сравнению с SHA-1 по нескольким причинам. Во-первых, он обладает более сильной устойчивостью к коллизиям, что затрудняет задачу атакующих создать два разных входных значения, которые приведут к одному и тому же хеш-значению. Во-вторых, SHA-256 создает более длинное хеш-значение — 256 бит, что обеспечивает более высокий уровень безопасности и делает задачу атакующих более сложной. Кроме того, не было известных успешных атак на SHA-256, в то время как у SHA-1 были обнаружены уязвимости, включая практические атаки, которые могут создавать коллизии. Алгоритм SHA-256 является рекомендуемым выбором для криптографических целей и идеально подходит для использования в TOTP токенах.

Алгоритм двухфакторной аутентификации TOTP (Time-based One-Time Password) работает так: секретный ключ соединяется с текущим временем и получается одноразовый пароль (OTP). В OTP токене Protectimus SHARK для генерации пароля используется хеш-функция SHA-256, которая создает фиксированный результат длиной 256 бит. SHA-256 делает алгоритм TOTP более безопасным и менее подверженным атакам. Одноразовый пароль, сгенерированный с помощью OTP токена Protectimus SHARK действителен только 30 секунд, затем создается новый.

Классические аппаратные токены TOTP имеют предустановленные производителем секретные ключи, которые нельзя изменить. При получении такого токена пользователю необходимо добавить секретный ключ на сервер аутентификации. MFA токены Protectimus SHARK являются классическими аппаратными токенами TOTP, которые можно использовать с системой двухфакторной аутентификации Protectimus или с любой другой системой, поддерживающей стандарты OATH и алгоритм хэширования SHA256.

Аппаратный TOTP токен Protectimus SHARK — отличный выбор для двухфакторной аутентификации. Он обеспечивает высокий уровень безопасности благодаря поддержке алгоритмов TOTP (RFC 6238) и SHA-256, соответствующих стандартам OATH. Главное преимущество этого токена — поддержка алгоритма хэширования SHA-256, который обеспечивает лучшую защиту, чем SHA-1. Аппаратный TOTP токен Protectimus SHARK работает оффлайн, поэтому защищен от взлома и перехвата одноразовых паролей. Кроме того, он имеет прочную конструкцию и высокую степень водонепроницаемости IP67. Обычно такие токены служат от 3 до 5 лет.