Ce este TOTP (Time-based One-Time Password)?
Cod de autentificare temporar generat de o aplicatie pe telefon
Definiție TOTP (Time-based One-Time Password)
TOTP genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde. Sunt folosite de aplicatii ca Google Authenticator, Authy sau Microsoft Authenticator. Fiecare cod este valid doar o data si doar pentru scurt timp, ceea ce face atacurile mult mai dificile decat cu parola simpla.
De ce contează TOTP (Time-based One-Time Password)
Time-based One-Time Password genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde pe baza unui secret partajat si a ceasului curent, conform RFC 6238. Codurile TOTP functioneaza offline fara conexiune la internet si sunt rezistente la interceptare — un cod capturat este deja expirat pana ajunge sa fie folosit.
Cum verifici TOTP (Time-based One-Time Password)
SoftAudit verifica daca formularul de autentificare include un pas secundar cu camp pentru cod numeric de 6 cifre, ceea ce indica implementarea TOTP. Analizeaza si pagina de setari cont pentru a detecta optiunea de configurare 2FA cu QR code specific aplicatiilor de autentificare.
Verifică securitatea site-ului →Greșeli frecvente
Stocarea secretului TOTP in baza de date fara criptare permite unui atacator care obtine acces la DB sa genereze coduri valide pentru orice cont. Acceptarea codurilor expirate cu o fereastra de toleranta prea mare (mai mult de un interval de 30 secunde in fiecare directie) reduce semnificativ securitatea.
Bune practici
Cripteaza secretele TOTP in baza de date cu o cheie separata de alte date sensibile si limiteaza fereastra de acceptare la plus/minus un interval (90 secunde total). Implementeaza protectie brute force pe introducerea codului TOTP (maxim 5 incercari, apoi timeout progresiv) si ofera utilizatorului coduri de backup la activare.
Verifică acum
Folosește instrumentul gratuit SoftAudit pentru a verifica totp (time-based one-time password) pe site-ul tău.
Verificare Securitate — GratuitÎntrebări frecvente
Ce este TOTP (Time-based One-Time Password)?
TOTP genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde. Sunt folosite de aplicatii ca Google Authenticator, Authy sau Microsoft Authenticator. Fiecare cod este valid doar o data si doar pentru scurt timp, ceea ce face atacurile mult mai dificile decat cu parola simpla.
De ce este important TOTP (Time-based One-Time Password) pentru un website?
Time-based One-Time Password genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde pe baza unui secret partajat si a ceasului curent, conform RFC 6238. Codurile TOTP functioneaza offline fara conexiune la internet si sunt rezistente la interceptare — un cod capturat este deja expirat pana ajunge sa fie folosit.