O TOTP combina uma chave secreta com a hora atual para gerar senhas únicas que expiram em segundos. Veja como ele protege suas contas.

Para concluir transações, as empresas costumam pedir aos clientes informações sensíveis: números de cartão, endereços ou qualquer outro dado pessoal identificável. E toda empresa sabe que falhar na proteção desses dados pode transformá-la em protagonista de manchetes sobre vazamentos. Para proteger as informações de clientes e funcionários, cada vez mais negócios adotam alguma forma de autenticação de dois fatores (2FA), e um dos métodos mais populares é a senha de uso único baseada em tempo, ou TOTP na sigla em inglês (time-based one-time password).
Um TOTP gera uma senha única para cada tentativa de login. Diferentemente de uma senha convencional, um TOTP só é válido por um curto período de tempo. Ao combinar uma chave secreta com a hora atual, o algoritmo TOTP produz uma senha única que pode ser usada uma só vez.
Essa senha, que muda aproximadamente a cada 30 segundos, é normalmente gerada por um aplicativo no smartphone (como os apps autenticadores) ou por um token físico. Quando o usuário faz login em um site ou serviço que exige TOTP, ele digita a senha de uso único vigente junto com as credenciais habituais para concluir a autenticação. O padrão é definido pela IETF no RFC 6238 e é a base da maioria dos apps autenticadores que você já usa, por exemplo, para entrar no banco pelo celular ou nas ferramentas de trabalho.
As senhas tradicionais são suscetíveis a tentativas de invasão: se um atacante obtém as credenciais de um usuário, ele consegue entrar na conta e acessar informações sensíveis, como dados pessoais ou financeiros. Os TOTPs foram projetados para impedir o acesso não autorizado mesmo que o invasor já tenha as credenciais, porque ele ainda precisaria do código vigente, que expira em segundos e nunca se repete.
Vantagens principais:
Um OTP (one-time password) é qualquer senha válida para uma única sessão ou transação; pode ser entregue por SMS, chamada, e-mail ou aplicativo. O TOTP é a variante baseada em tempo: o servidor e o dispositivo compartilham uma chave secreta e ambos calculam o mesmo código a partir da hora atual. Seu primo, o HOTP, gera códigos a partir de um contador de eventos em vez do relógio, então um código pode continuar válido até ser usado; por isso o TOTP, com expiração automática, é considerado mais seguro.
Nenhum método é perfeito: os TOTPs podem ser vítimas de phishing em tempo real, dependem de um segredo compartilhado que precisa ser bem guardado e exigem sincronização de relógio entre dispositivo e servidor. Por isso vale combiná-los com limites de tentativas e boas práticas de implementação.
Se você está construindo fluxos de autenticação para a sua aplicação, a Verify API da Telnyx cuida da geração, da entrega e da verificação de códigos de uso único por SMS, chamada de voz, flash call ou WhatsApp, com lógica de retentativas e limites de taxa inclusos, e com a opção de oferecer TOTP por app como método complementar para os seus usuários de maior valor.
TOTP é a sigla em inglês de time-based one-time password: uma senha de uso único baseada em tempo. Ela é gerada combinando uma chave secreta com a hora atual e se renova aproximadamente a cada 30 segundos.
Um OTP é qualquer senha de uso único, independentemente de como é gerada ou entregue. O TOTP é o tipo de OTP que usa a hora atual como fonte de unicidade, então cada código expira automaticamente em uma janela curta.
Não. Os apps autenticadores e os tokens físicos calculam o código localmente a partir da chave secreta e do relógio do aparelho, então funcionam offline; o que importa é a hora do dispositivo estar sincronizada.
Proteja as contas dos seus usuários com verificação confiável. Implemente códigos de uso único por SMS, voz, flash call ou WhatsApp com a Verify API da Telnyx. Agende uma demonstração gratuita com nossa equipe.
Related articles