Ce este TOTP (Time-based One-Time Password)?

Cod de autentificare temporar generat de o aplicatie pe telefon

Definiție TOTP (Time-based One-Time Password)

TOTP genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde. Sunt folosite de aplicatii ca Google Authenticator, Authy sau Microsoft Authenticator. Fiecare cod este valid doar o data si doar pentru scurt timp, ceea ce face atacurile mult mai dificile decat cu parola simpla.

De ce contează TOTP (Time-based One-Time Password)

Time-based One-Time Password genereaza coduri de 6 cifre care se schimba la fiecare 30 de secunde pe baza unui secret partajat si a ceasului curent, conform RFC 6238. Codurile TOTP functioneaza offline fara conexiune la internet si sunt rezistente la interceptare — un cod capturat este deja expirat pana ajunge sa fie folosit.

Cum verifici TOTP (Time-based One-Time Password)

SoftAudit verifica daca formularul de autentificare include un pas secundar cu camp pentru cod numeric de 6 cifre, ceea ce indica implementarea TOTP. Analizeaza si pagina de setari cont pentru a detecta optiunea de configurare 2FA cu QR code specific aplicatiilor de autentificare.

Greșeli frecvente

Stocarea secretului TOTP in baza de date fara criptare permite unui atacator care obtine acces la DB sa genereze coduri valide pentru orice cont. Acceptarea codurilor expirate cu o fereastra de toleranta prea mare (mai mult de un interval de 30 secunde in fiecare directie) reduce semnificativ securitatea.

Bune practici

Cripteaza secretele TOTP in baza de date cu o cheie separata de alte date sensibile si limiteaza fereastra de acceptare la plus/minus un interval (90 secunde total). Implementeaza protectie brute force pe introducerea codului TOTP (maxim 5 incercari, apoi timeout progresiv) si ofera utilizatorului coduri de backup la activare.