كلمات المرور المستندة إلى الوقت (TOTPs) هي خوارزمية كمبيوتر كلمة المرور القياسية لمرة واحدة. إنها تتوسع في رمز مصادقة الرسالة المستندة إلى التجزئة (HMAC) لمرة واحدة (كلمة المرور لمرة واحدة المستندة إلى HMAC ، أو HOTP باختصار).
يمكن استخدام TOTPs بدلاً من العامل الثنائي التقليدي طويل العمر أو كعامل إضافي إلى جانبه حلول المصادقة ، مثل رسائل SMS أو الرموز المميزة للأجهزة المادية التي يمكن سرقتها أو نسيانها بسهولة. إذن ما هي كلمات المرور المستخدمة لمرة واحدة المستندة إلى الوقت بالضبط؟ كيف يعملون؟
ما هو برنامج TOTP؟
TOTP هو رمز مرور مؤقت يستخدم مرة واحدة يتم إنشاؤه بالتوافق مع الوقت الحالي بواسطة خوارزمية لمصادقة المستخدم. إنها طبقة أمان إضافية لحساباتك تعتمد على توثيق ذو عاملين (2FA) أو مصادقة متعددة العوامل (وزارة الخارجية). هذا يعني أنه بعد إدخال اسم المستخدم وكلمة المرور الخاصين بك ، ستتم مطالبتك بإدخال رمز معين يعتمد على الوقت وقصير الأجل.
سمي TOTP بهذا الاسم لأنه يستخدم خوارزمية قياسية لعمل رمز مرور فريد ورقمي لمرة واحدة باستخدام توقيت غرينتش (GMT). أي ، يتم إنشاء رمز المرور من الوقت الحالي خلال تلك الفترة. يتم أيضًا إنشاء الرموز من سر مشترك أو رمز مرور أولي سري يتم توفيره عند تسجيل المستخدم مع خادم المصادقة ، إما من خلال رموز QR أو نص عادي.
يظهر رمز المرور هذا للمستخدم ، الذي من المتوقع أن يستخدمه لفترة محددة ، وبعد ذلك تنتهي صلاحيته. يقوم المستخدمون بإدخال رمز المرور لمرة واحدة واسم المستخدم وكلمة المرور العادية في نموذج تسجيل الدخول خلال فترة زمنية محدودة. بعد انتهاء الصلاحية ، لم يعد الرمز صالحًا ولا يمكن استخدامه في نموذج تسجيل الدخول.
تتضمن TOTPs سلسلة من الرموز الرقمية الديناميكية ، عادةً ما بين أربعة وستة أرقام ، والتي تتغير كل 30 إلى 60 ثانية. نشرت فرقة عمل هندسة الإنترنت (IETF) برنامج TOTP ، الموصوف في RFC 6238، ويستخدم خوارزمية قياسية للحصول على كلمة مرور لمرة واحدة.
أعضاء مبادرة المصادقة المفتوحة (OATH) هم العقل المدبر وراء اختراع TOTP. تم بيعه بموجب براءة اختراع حصريًا ، ومنذ ذلك الحين قام بائعو مصادقة مختلفون بتسويقه وفقًا للتوحيد القياسي. يستخدم حاليا على نطاق واسع من قبل تطبيق السحابة الإلكترونية مقدمي. إنها سهلة الاستخدام ومتاحة للاستخدام في وضع عدم الاتصال ، مما يجعلها مثالية للاستخدام على الطائرات أو عندما لا تكون لديك تغطية للشبكة.
كيف يعمل TOTP؟
يوفر TOTPs ، كعامل التفويض الثاني في تطبيقاتك ، لحساباتك طبقة إضافية من الأمان لأنك تحتاج إلى توفير رموز المرور الرقمية لمرة واحدة قبل تسجيل الدخول. يطلق عليها بشكل شائع "الرموز المميزة للبرامج" و "الرموز المميزة اللينة" و "المصادقة المستندة إلى التطبيق" وتجد الاستخدام في تطبيقات المصادقة يحب Google Authenticator و Authy.
الطريقة التي تعمل بها هي أنه بعد إدخال اسم المستخدم وكلمة المرور لحسابك ، تتم مطالبتك بإضافة رمز TOTP صالح إلى واجهة تسجيل دخول أخرى كدليل على أنك تمتلك الحساب.
في بعض الطرازات ، يصل TOTP إليك على هاتفك الذكي من خلال رسالة نصية قصيرة SMS. يمكنك أيضًا الحصول على الرموز من تطبيق الهاتف الذكي للمصادقة عن طريق مسح صورة QR ضوئيًا. هذه الطريقة هي الأكثر استخدامًا ، وعادة ما تنتهي صلاحية الرموز بعد حوالي 30 أو 60 ثانية. ومع ذلك ، يمكن لبعض TOTPs أن تدوم 120 أو 240 ثانية.
يتم إنشاء رمز المرور من جانبك بدلاً من الخادم باستخدام تطبيق المصادقة. لهذا السبب ، يمكنك دائمًا الوصول إلى TOTP الخاص بك حتى لا يحتاج الخادم إلى إرسال رسائل SMS عند تسجيل الدخول.
هناك طرق أخرى يمكنك من خلالها الحصول على برنامج TOTP الخاص بك:
- رموز أمان الأجهزة.
- رسائل البريد الإلكتروني من الخادم.
- الرسائل الصوتية من الخادم.
نظرًا لأن TOTP يعتمد على الوقت وينتهي في غضون ثوانٍ ، لا يملك المتسللون الوقت الكافي لتوقع رموز المرور الخاصة بك. وبهذه الطريقة ، فإنها توفر أمانًا إضافيًا لنظام مصادقة اسم المستخدم وكلمة المرور الأضعف.
على سبيل المثال ، تريد تسجيل الدخول إلى محطة العمل الخاصة بك التي تستخدم TOTP. تقوم أولاً بإدخال اسم المستخدم وكلمة المرور للحساب ، ويطالبك النظام بـ TOTP. يمكنك بعد ذلك قراءتها من رمز الجهاز الخاص بك أو صورة QR وكتابتها في حقل تسجيل الدخول TOTP. بعد مصادقة النظام لرمز المرور ، يقوم بتسجيل الدخول إلى حسابك.
تتطلب خوارزمية TOTP التي تُنشئ رمز المرور إدخال وقت جهازك والمفتاح الأساسي أو المفتاح السري. لا تحتاج إلى اتصال بالإنترنت لإنشاء برنامج TOTP والتحقق منه ، ولهذا السبب يمكن أن تعمل تطبيقات المصادقة دون اتصال بالإنترنت. يعد TOTP ضروريًا للمستخدمين الذين يرغبون في استخدام حساباتهم ويحتاجون إلى المصادقة أثناء السفر على متن الطائرات أو في المناطق النائية حيث لا يتوفر اتصال الشبكة.
كيف يتم مصادقة برنامج TOTP؟
توفر العملية التالية دليلًا بسيطًا ومختصرًا حول كيفية عمل عملية مصادقة TOTP.
عندما يريد المستخدم الوصول إلى تطبيق مثل تطبيق الشبكة السحابية ، تتم مطالبتهم بإدخال TOTP بعد إدخال اسم المستخدم وكلمة المرور. يطلبون تمكين 2FA ، ويستخدم رمز TOTP خوارزمية TOTP لإنشاء OTP.
يقوم المستخدم بإدخال الرمز المميز في صفحة الطلب ، ويقوم نظام الأمان بتكوين TOTP الخاص به باستخدام نفس مجموعة الوقت الحالي والسر أو المفتاح المشترك. يقارن النظام بين رمزي المرور ؛ إذا كانت متطابقة ، يتم مصادقة المستخدم ومنحه حق الوصول. من المهم ملاحظة أن معظم برنامج TOTP سيصادق باستخدام رموز QR والصور.
TOTP مقابل. كلمة المرور لمرة واحدة المستندة إلى HMAC
قدمت كلمة المرور لمرة واحدة المستندة إلى HMAC الإطار الذي تم بناء TOTP عليه. يتشارك كل من TOTP و HOTP في أوجه التشابه ، حيث يستخدم كلا النظامين مفتاحًا سريًا كأحد المدخلات لإنشاء رمز المرور. ومع ذلك ، بينما يستخدم TOTP الوقت الحالي كمدخل آخر ، يستخدم HOTP عدادًا.
علاوة على ذلك ، من حيث الأمان ، يعد TOTP أكثر أمانًا من HOTP لأن كلمات المرور التي تم إنشاؤها تنتهي صلاحيتها بعد 30 إلى 60 ثانية ، وبعد ذلك يتم إنشاء كلمة مرور جديدة. في HOTP ، يظل رمز المرور صالحًا حتى تستخدمه. لهذا السبب ، يمكن للعديد من المتسللين الوصول إلى HOTPs واستخدامها لتنفيذ هجمات إلكترونية ناجحة. على الرغم من استمرار استخدام HOTP من قبل بعض خدمات المصادقة ، فإن تطبيقات المصادقة الأكثر شيوعًا تتطلب TOTP.
ما هي فوائد استخدام برنامج TOTP؟
تعد TOTPs مفيدة لأنها توفر لك طبقة إضافية من الأمان. نظام اسم المستخدم وكلمة المرور وحده ضعيف وشائع هجمات رجل في الوسط. ومع ذلك ، مع أنظمة 2FA / MFA المستندة إلى TOTP ، لا يتوفر للقراصنة الوقت الكافي للوصول إلى برنامج TOTP الخاص بك حتى لو سرقوا كلمة مرورك التقليدية ، فلن تتاح لهم فرصة اختراق حسابات.
توفر مصادقة TOTP أمانًا إضافيًا
يمكن لمجرمي الإنترنت الوصول بسهولة إلى اسم المستخدم وكلمة المرور واختراق حسابك. ومع ذلك ، مع أنظمة 2FA / MFA المستندة إلى TOTP ، يمكنك الحصول على حساب أكثر أمانًا لأن TOTPs مقيدة بالوقت وتنتهي صلاحيتها في غضون ثوانٍ. من الواضح أن تنفيذ برنامج TOTP يستحق كل هذا العناء.
