Salt la conținut
Securitate Web

Ce este TOTP (Time-based One-Time Password)?

Cod de autentificare temporar generat de o aplicatie pe telefon

Definiție TOTP (Time-based One-Time Password)

TOTP genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde. Sunt folosite de aplicatii ca Google Authenticator, Authy sau Microsoft Authenticator. Fiecare cod este valid doar o data si doar pentru scurt timp, ceea ce face atacurile mult mai dificile decat cu parola simpla.

De ce contează TOTP (Time-based One-Time Password)

Time-based One-Time Password genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde pe baza unui secret partajat si a ceasului curent, conform RFC 6238. Codurile TOTP functioneaza offline fara conexiune la internet si sunt rezistente la interceptare — un cod capturat este deja expirat pana ajunge sa fie folosit.

Cum verifici TOTP (Time-based One-Time Password)

SoftAudit verifica daca formularul de autentificare include un pas secundar cu camp pentru cod numeric de 6 cifre, ceea ce indica implementarea TOTP. Analizeaza si pagina de setari cont pentru a detecta optiunea de configurare 2FA cu QR code specific aplicatiilor de autentificare.

Verifică securitatea site-ului →

Greșeli frecvente

Stocarea secretului TOTP in baza de date fara criptare permite unui atacator care obtine acces la DB sa genereze coduri valide pentru orice cont. Acceptarea codurilor expirate cu o fereastra de toleranta prea mare (mai mult de un interval de 30 secunde in fiecare directie) reduce semnificativ securitatea.

Bune practici

Cripteaza secretele TOTP in baza de date cu o cheie separata de alte date sensibile si limiteaza fereastra de acceptare la plus/minus un interval (90 secunde total). Implementeaza protectie brute force pe introducerea codului TOTP (maxim 5 incercari, apoi timeout progresiv) si ofera utilizatorului coduri de backup la activare.

Verifică acum

Folosește instrumentul gratuit SoftAudit pentru a verifica totp (time-based one-time password) pe site-ul tău.

Verificare Securitate — Gratuit

Întrebări frecvente

Ce este TOTP (Time-based One-Time Password)?

TOTP genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde. Sunt folosite de aplicatii ca Google Authenticator, Authy sau Microsoft Authenticator. Fiecare cod este valid doar o data si doar pentru scurt timp, ceea ce face atacurile mult mai dificile decat cu parola simpla.

De ce este important TOTP (Time-based One-Time Password) pentru un website?

Time-based One-Time Password genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde pe baza unui secret partajat si a ceasului curent, conform RFC 6238. Codurile TOTP functioneaza offline fara conexiune la internet si sunt rezistente la interceptare — un cod capturat este deja expirat pana ajunge sa fie folosit.

Termeni asociați

Înapoi la glosarul complet