Zamana Dayalı Tek Seferlik Şifre Nedir ve Kullanmalısınız?

0

Çevrimiçi hesaplarınız için nasıl daha fazla güvenlik sağlayabilirsiniz? Cevap, TOTP kullanarak ek kimlik doğrulama olabilir.

Zamana dayalı tek seferlik parolalar (TOTP'ler), standart tek seferlik parola bilgisayar algoritmasıdır. Karma tabanlı mesaj kimlik doğrulama kodu (HMAC) tek seferlik parolayı (HMAC tabanlı Tek Kullanımlık Parola veya kısaca HOTP) genişletirler.

TOTP'ler, kolayca çalınabilen veya unutulabilen SMS mesajları veya fiziksel donanım belirteçleri gibi geleneksel, daha uzun ömürlü iki faktörlü kimlik doğrulama çözümlerinin yerine veya yanında ek bir faktör olarak kullanılabilir. Peki zamana dayalı tek seferlik şifreler tam olarak nedir? Nasıl çalışırlar?

TOTP Nedir?
TOTP, kullanıcı kimlik doğrulaması için bir algoritma tarafından geçerli zamana göre oluşturulan geçici, tek kullanımlık bir paroladır . Hesaplarınız için iki faktörlü kimlik doğrulamaya (2FA) veya çok faktörlü kimlik doğrulamaya (MFA) dayalı ek bir güvenlik katmanıdır. Bu, kullanıcı adınızı ve şifrenizi girdikten sonra, zamana dayalı ve kısa ömürlü belirli bir kod girmeniz gerektiği anlamına gelir.

TOTP, Greenwich Ortalama Saati'ni (GMT) kullanarak benzersiz ve sayısal bir defalık şifreyi çözmek için standart bir algoritma kullandığı için bu şekilde adlandırılmıştır. Diğer bir deyişle, parola, o dönemdeki geçerli zamandan üretilir. Kodlar ayrıca, QR kodları veya düz metin yoluyla, kimlik doğrulama sunucusuna kullanıcı kaydı sırasında sağlanan paylaşılan bir sırdan veya gizli bir tohum geçiş kodundan oluşturulur.

Bu parola, onu belirli bir süre kullanması beklenen kullanıcıya gösterilir ve ardından süresi dolar. Kullanıcılar tek seferlik parolayı, kullanıcı adlarını ve normal parolayı sınırlı bir süre içinde bir oturum açma formuna girerler. Süre sona erdikten sonra, kod artık geçerli değildir ve oturum açma formunda kullanılamaz.

TOTP'ler, her 30 ila 60 saniyede bir değişen, genellikle dört ila altı basamaklı bir dizi dinamik sayısal kod içerir. İnternet Mühendisliği Görev Gücü (IETF), RFC 6238'de açıklanan TOTP'yi yayınladı ve tek seferlik bir parola elde etmek için standart bir algoritma kullanıyor.

Açık Kimlik Doğrulama Girişimi'nin (OATH) üyeleri , TOTP'nin icadının arkasındaki beyinlerdir. Yalnızca patent altında satıldı ve o zamandan beri farklı kimlik doğrulama satıcıları, standardizasyonun ardından onu pazarladı. Şu anda bulut uygulama sağlayıcıları tarafından yaygın olarak kullanılmaktadır . Kullanıcı dostudurlar ve çevrimdışı kullanım için uygundurlar, bu da onları uçaklarda veya kapsama alanınız olmadığında kullanım için ideal kılar.

TOTP Nasıl Çalışır?
Uygulamalarınızdaki ikinci yetkilendirme faktörü olan TOTP'ler, oturum açmadan önce tek seferlik sayısal parolaları sağlamanız gerektiğinden, hesaplarınıza ekstra bir güvenlik katmanı sağlar. Bunlara genel olarak "yazılım belirteçleri", "yazılım belirteçleri" denir. "," ve "uygulama tabanlı kimlik doğrulama" ve Google Authenticator ve Authy gibi kimlik doğrulama uygulamalarında kullanım alanı bulun .

Çalışma şekli, hesabınızın kullanıcı adını ve parolasını girdikten sonra, hesabın sahibi olduğunuzun kanıtı olarak başka bir oturum açma arayüzüne geçerli bir TOTP kodu eklemenizin istenmesidir.

Bazı modellerde, TOTP size akıllı telefonunuzdan bir SMS metin mesajı yoluyla ulaşır. Kodları, bir QR görüntüsünü tarayarak bir kimlik doğrulayıcı akıllı telefon uygulamasından da alabilirsiniz. Bu yöntem en yaygın kullanılan yöntemdir ve kodlar genellikle yaklaşık 30 veya 60 saniye sonra sona erer. Ancak, bazı .

TOTP'ler 120 veya 240 saniye sürebilir.
Parola, sunucunun kimlik doğrulayıcı uygulamasını kullanması yerine sizin tarafınızda oluşturulur. Bu nedenle, TOTP'nize her zaman erişebilirsiniz, böylece sunucunun her oturum açtığınızda SMS göndermesine gerek kalmaz.

TOTP'nizi alabileceğiniz başka yöntemler de vardır:
- Donanım güvenlik belirteçleri.
- Sunucudan gelen e-posta mesajları.
- Sunucudan sesli mesajlar.

TOTP zamana dayalı olduğundan ve saniyeler içinde sona erdiğinden, bilgisayar korsanlarının parolalarınızı tahmin etmek için yeterli zamanı yoktur. Bu şekilde, daha zayıf olan kullanıcı adı ve parola kimlik doğrulama sistemine ek güvenlik sağlarlar.

Örneğin, TOTP kullanan iş istasyonunuzda oturum açmak istiyorsunuz. Önce hesap için kullanıcı adınızı ve şifrenizi girersiniz ve sistem sizden bir TOTP ister. Daha sonra bunu donanım belirtecinizden veya QR görüntüsünden okuyabilir ve TOTP oturum açma alanına yazabilirsiniz. Sistem şifreyi doğruladıktan sonra, hesabınıza giriş yapmanızı sağlar.

Parolayı oluşturan TOTP algoritması, cihazınızın zaman girişini ve gizli tohum veya anahtarınızı gerektirir. TOTP'yi oluşturmak ve doğrulamak için internet bağlantısına ihtiyacınız yoktur, bu nedenle kimlik doğrulama uygulamaları çevrimdışı çalışabilir. TOTP, hesaplarını kullanmak isteyen ve uçaklarda veya ağ bağlantısının bulunmadığı uzak bölgelerde seyahat ederken kimlik doğrulamasına ihtiyaç duyan kullanıcılar için gereklidir.

TOTP Nasıl Doğrulanır?
Aşağıdaki işlem, TOTP kimlik doğrulama işleminin nasıl çalıştığına ilişkin basit ve kısa bir kılavuz sağlar.

Bir kullanıcı bulut ağ uygulaması gibi bir uygulamaya erişmek istediğinde, kullanıcı adını ve parolasını girdikten sonra TOTP'yi girmesi istenir. 2FA'nın etkinleştirilmesini talep ederler ve TOTP belirteci, OTP'yi oluşturmak için TOTP algoritmasını kullanır.

Kullanıcı belirteci istek sayfasına girer ve güvenlik sistemi TOTP'sini aynı geçerli saat ve paylaşılan sır veya anahtar kombinasyonunu kullanarak yapılandırır. Sistem iki parolayı karşılaştırır; eşleşirlerse, kullanıcının kimliği doğrulanır ve erişim izni verilir. Çoğu TOTP'nin QR kodları ve resimlerle kimlik doğrulaması yapacağını unutmamak önemlidir.

TOTP ve HMAC Tabanlı Tek Kullanımlık Parola
HMAC tabanlı Tek Kullanımlık Parola, TOTP'nin üzerine inşa edildiği çerçeveyi sağladı. TOTP ve HOTP, her iki sistem de şifre oluşturmak için girdilerden biri olarak gizli bir anahtar kullandığından, benzerlikleri paylaşır. Ancak TOTP diğer girdi olarak şimdiki zamanı kullanırken, HOTP bir sayaç kullanır.

Ayrıca, güvenlik açısından TOTP, HOTP'den daha güvenlidir çünkü oluşturulan parolaların süresi 30 ila 60 saniye sonra sona erer ve ardından yeni bir parola oluşturulur. HOTP'de parola, siz onu kullanana kadar geçerli kalır. Bu nedenle, birçok bilgisayar korsanı HOTP'lere erişebilir ve bunları başarılı siber saldırılar gerçekleştirmek için kullanabilir. HOTP hala bazı kimlik doğrulama hizmetleri tarafından kullanılsa da, çoğu popüler kimlik doğrulama uygulaması TOTP gerektirir.

TOTP Kullanmanın Faydaları Nelerdir?
TOTP'ler faydalıdır çünkü size ek bir güvenlik katmanı sağlarlar. Kullanıcı adı-şifre sistemi tek başına zayıftır ve genellikle Ortadaki Adam saldırılarına maruz kalır . Bununla birlikte, TOTP tabanlı 2FA/MFA sistemlerinde bilgisayar korsanlarının, geleneksel parolanızı çalmış olsalar bile TOTP'nize erişmek için yeterli zamanları yoktur, dolayısıyla hesaplarınızı ele geçirmek için çok az şansları vardır.

TOTP Kimlik Doğrulaması Ek Güvenlik Sağlar
Siber suçlular, kullanıcı adınıza ve şifrenize kolayca erişebilir ve hesabınızı ele geçirebilir. Ancak, TOTP tabanlı 2FA/MFA sistemleriyle daha güvenli bir hesaba sahip olabilirsiniz çünkü TOTP'ler zamana bağlıdır ve saniyeler içinde sona erer. TOTP'yi uygulamak açıkça buna değer.

Yorum Gönder

0Yorumlar

UYARI: > Küfür, hakaret, rencide edici cümleler veya imalar, içeren, imla kuralları ile yazılmamış, Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.<

Yorum Gönder (0)