La contraseña de un solo uso basada en tiempo ( TOTP ) es un algoritmo informático que genera una contraseña de un solo uso (OTP) utilizando la hora actual como fuente de unicidad. Como extensión del algoritmo de contraseña de un solo uso basado en HMAC (HOTP), se ha adoptado como estándar RFC 6238 del Grupo de trabajo de ingeniería de Internet (IETF). [1]
TOTP es la piedra angular de la Iniciativa para la Autenticación Abierta (OATH) y se utiliza en varios sistemas de autenticación de dos factores [1] (2FA).
Gracias a la colaboración de varios miembros de OATH, se desarrolló un borrador de TOTP para crear un estándar respaldado por la industria. Complementa el estándar único basado en eventos HOTP y ofrece a las organizaciones y empresas de usuarios finales más opciones para seleccionar las tecnologías que mejor se adapten a sus requisitos de aplicación y pautas de seguridad . En 2008, OATH presentó una versión preliminar de la especificación al IETF. Esta versión incorpora todos los comentarios y sugerencias que los autores recibieron de la comunidad técnica en función de las versiones anteriores presentadas al IETF. [2] En mayo de 2011, TOTP se convirtió oficialmente en RFC 6238. [1]
Para establecer la autenticación TOTP, el autenticado y el autenticador deben preestablecer tanto los parámetros HOTP como los siguientes parámetros TOTP:
Tanto el autenticador como el autenticado calculan el valor TOTP y luego el autenticador verifica si el valor TOTP proporcionado por el autenticado coincide con el valor TOTP generado localmente. Algunos autenticadores permiten valores que deberían haberse generado antes o después de la hora actual para tener en cuenta pequeños desfases de reloj , latencia de red y demoras del usuario.
TOTP utiliza el algoritmo HOTP, reemplazando el contador con un valor no decreciente basado en la hora actual:
Valor TOTP ( K ) = valor HOTP ( K , C T ),
Calcular el valor del contador
dónde
A diferencia de las contraseñas , los códigos TOTP solo son válidos por un tiempo limitado. Sin embargo, los usuarios deben ingresar los códigos TOTP en una página de autenticación, lo que genera la posibilidad de ataques de phishing . Debido al breve período en el que los códigos TOTP son válidos, los atacantes deben utilizar proxy para las credenciales en tiempo real. [3]
Las credenciales TOTP también se basan en un secreto compartido que conocen tanto el cliente como el servidor, lo que crea múltiples ubicaciones desde las que se puede robar un secreto. [4] Un atacante con acceso a este secreto compartido podría generar nuevos códigos TOTP válidos a voluntad. Esto puede ser un problema particular si el atacante viola una gran base de datos de autenticación. [5]