¿Qué es una contraseña de un solo uso basada en el tiempo y debería usar una?

Las contraseñas de un solo uso basadas en el tiempo (TOTP) son el algoritmo informático de contraseña de un solo uso estándar. Amplían la contraseña de un solo uso del código de autenticación de mensajes basado en hash (HMAC) (contraseña de un solo uso basada en HMAC, o HOTP para abreviar).

Los TOTP se pueden usar en lugar de soluciones de autenticación de dos factores tradicionales y más duraderas, como mensajes SMS o tokens físicos de hardware que se pueden robar u olvidar fácilmente, o como un factor adicional. Entonces, ¿qué son exactamente las contraseñas de un solo uso basadas en el tiempo? ¿Cómo trabajan?

¿Qué es un TOTP?

TOTP es un código de acceso temporal de un solo uso generado de acuerdo con la hora actual por un algoritmo para la autenticación del usuario. Es una capa adicional de seguridad para sus cuentas que se basa en la autenticación de dos factores (2FA) o la autenticación de múltiples factores (MFA). Esto significa que después de haber ingresado su nombre de usuario y contraseña, debe ingresar un código particular que se basa en el tiempo y es de corta duración.

TOTP se llama así porque utiliza un algoritmo estándar para calcular un código de acceso único y numérico de un solo uso utilizando la hora del meridiano de Greenwich (GMT). Es decir, el código de acceso se genera a partir de la hora actual durante ese período. Los códigos también se generan a partir de un secreto compartido o un código semilla secreto proporcionado en el registro del usuario con el servidor de autenticación, ya sea a través de códigos QR o texto sin formato.

Este código de acceso se muestra al usuario, quien se espera que lo use durante un tiempo específico, después del cual caduca. Los usuarios ingresan el código de acceso único, su nombre de usuario y la contraseña normal en un formulario de inicio de sesión dentro de un tiempo limitado. Después del vencimiento, el código ya no es válido y no se puede usar en un formulario de inicio de sesión.

Los TOTP incluyen una cadena de códigos numéricos dinámicos, generalmente entre cuatro y seis dígitos, que cambian cada 30 a 60 segundos. El Grupo de Trabajo de Ingeniería de Internet (IETF) publicó TOTP, descrito en RFC 6238 , y utiliza un algoritmo estándar para obtener una contraseña de un solo uso.

Los miembros de la Iniciativa para la Autenticación Abierta (OATH) son los cerebros detrás de la invención de TOTP. Se vendió exclusivamente bajo patente y, desde entonces, diferentes proveedores de autenticación lo han comercializado siguiendo la estandarización. Actualmente es ampliamente utilizado por los proveedores de aplicaciones en la nube. Son fáciles de usar y están disponibles para uso sin conexión, lo que los hace ideales para usar en aviones o cuando no tiene cobertura de red.

¿Cómo funciona un TOTP?

Los TOTP, como segundo factor de autorización en sus aplicaciones, brindan a sus cuentas una capa adicional de seguridad porque debe proporcionar los códigos de acceso numéricos de un solo uso antes de iniciar sesión. ” y “autenticación basada en aplicaciones” y encuentran uso en aplicaciones de autenticación como Google Authenticator y Authy .

La forma en que funciona es que después de haber ingresado el nombre de usuario y la contraseña de su cuenta, se le solicita que agregue un código TOTP válido en otra interfaz de inicio de sesión como prueba de que es el propietario de la cuenta.

En algunos modelos, el TOTP le llega a su teléfono inteligente a través de un mensaje de texto SMS. También puede obtener los códigos de una aplicación de teléfono inteligente de autenticación escaneando una imagen QR. Este método es el más utilizado, y los códigos suelen caducar al cabo de unos 30 o 60 segundos. Sin embargo, algunos TOTP pueden durar 120 o 240 segundos.

El código de acceso se crea en su extremo en lugar de que el servidor utilice la aplicación de autenticación. Por esta razón, siempre tienes acceso a tu TOTP para que el servidor no necesite enviar un SMS cada vez que inicies sesión.

Existen otros métodos a través de los cuales puedes obtener tu TOTP:

• Tokens de seguridad de hardware.
• Mensajes de correo electrónico desde el servidor.
• Mensajes de voz del servidor.

Debido a que el TOTP se basa en el tiempo y caduca en segundos, los piratas informáticos no tienen suficiente tiempo para anticipar sus códigos de acceso. De esa manera, brindan seguridad adicional al sistema más débil de autenticación de nombre de usuario y contraseña.

Por ejemplo, desea iniciar sesión en su estación de trabajo que utiliza TOTP. Primero ingresa su nombre de usuario y contraseña para la cuenta, y el sistema le solicita un TOTP. Luego puede leerlo desde su token de hardware o la imagen QR y escribirlo en el campo de inicio de sesión TOTP. Después de que el sistema autentique el código de acceso, lo iniciará en su cuenta.

El algoritmo TOTP que genera el código de acceso requiere la entrada de tiempo de su dispositivo y su semilla o clave secreta. No necesita conexión a Internet para generar y verificar el TOTP, por lo que las aplicaciones de autenticación pueden funcionar sin conexión. TOTP es necesario para los usuarios que desean usar sus cuentas y necesitan autenticación durante viajes en aviones o en áreas remotas donde la conectividad de red no está disponible.

¿Cómo se autentica TOTP?

El siguiente proceso proporciona una guía simple y breve sobre cómo funciona el proceso de autenticación TOTP.

Cuando un usuario desea acceder a una aplicación como una aplicación de red en la nube, se le solicita que ingrese el TOTP después de ingresar su nombre de usuario y contraseña. Solicitan que se habilite 2FA y el token TOTP utiliza el algoritmo TOTP para generar la OTP.

El usuario ingresa el token en la página de solicitud y el sistema de seguridad configura su TOTP usando la misma combinación de la hora actual y el secreto o clave compartida. El sistema compara los dos códigos de acceso; si coinciden, el usuario se autentica y se le otorga acceso. Es importante tener en cuenta que la mayoría de TOTP se autenticarán con códigos QR e imágenes.

TOTP vs. Contraseña de un solo uso basada en HMAC

La contraseña de un solo uso basada en HMAC proporcionó el marco en el que se construyó TOTP. Tanto TOTP como HOTP comparten similitudes, ya que ambos sistemas usan una clave secreta como una de las entradas para generar el código de acceso. Sin embargo, mientras que TOTP usa la hora actual como otra entrada, HOTP usa un contador.

Además, en términos de seguridad, TOTP es más seguro que HOTP porque las contraseñas generadas caducan después de 30 a 60 segundos, después de lo cual se genera una nueva. En HOTP, el código de acceso sigue siendo válido hasta que lo use. Por esta razón, muchos piratas informáticos pueden acceder a los HOTP y utilizarlos para llevar a cabo ciberataques con éxito. Aunque algunos servicios de autenticación todavía usan HOTP, las aplicaciones de autenticación más populares requieren TOTP.

¿Cuáles son los beneficios de usar un TOTP?

Los TOTP son beneficiosos porque le brindan una capa adicional de seguridad. El sistema de nombre de usuario y contraseña por sí solo es débil y comúnmente está sujeto a ataques Man-in-the-Middle. Sin embargo, con los sistemas 2FA/MFA basados ​​en TOTP, los piratas informáticos no tienen suficiente tiempo para acceder a su TOTP incluso si han robado su contraseña tradicional, por lo que tienen pocas oportunidades de piratear sus cuentas.

La autenticación TOTP proporciona seguridad adicional

Los ciberdelincuentes pueden acceder fácilmente a su nombre de usuario y contraseña y piratear su cuenta. Sin embargo, con los sistemas 2FA/MFA basados ​​en TOTP, puede tener una cuenta más segura porque los TOTP tienen un límite de tiempo y caducan en segundos. La implementación de TOTP claramente vale la pena.