Hogyan működnek az időalapú egyszeri jelszavak, és miért kell használni őket az alkalmazásban?

A kiberbiztonsági fenyegetések számának növekedésével egyre nagyobb szükség van a webalkalmazások biztonsági szabványainak frissítésére. Győződjön meg arról, hogy felhasználói fiókjai biztonságosak-e.

Napjainkban számos online webalkalmazás arra kéri a felhasználókat, hogy adjanak hozzá egy további biztonsági szintet fiókjukhoz. A kétfaktoros hitelesítés engedélyezésével teszik. A kétfaktoros hitelesítés megvalósításának különféle módszerei vannak, és a TOTP (az időalapú egyszeri jelszó algoritmus) hitelesítés az egyik.

Ez a cikk elmagyarázza, mi ez, valamint hogyan és miért kell használni. De mielőtt ezt megértenénk, először nézzük meg röviden, mit jelent a kétfaktoros hitelesítés.

Mi a kétfaktoros hitelesítés?

A kétfaktoros hitelesítés (vagy többtényezős hitelesítés) csak egy további biztonsági réteg a felhasználói fiók számára. Ez azt jelenti, hogy a kétfaktoros hitelesítés engedélyezése után a felhasználónak még egy lépést kell végrehajtania a sikeres bejelentkezéshez. Például a fiókba történő bejelentkezés szokásos lépései:

A kétfaktoros hitelesítés engedélyezése után a lépések így néznek ki:

Tehát ez még egy lépést jelent a bejelentkezési folyamatban. Ez a módszer biztonságosabb, mert a bűnöző csak akkor férhet hozzá a felhasználó fiókjához, ha hozzáfér a felhasználó szokásos és egyszeri jelszavához.

Jelenleg két széles körben alkalmazott módszer van az egyszeri jelszó megszerzésére:

  1. SMS-alapú: Ebben a módszerben minden alkalommal, amikor a felhasználó bejelentkezik, szöveges üzenetet kap a regisztrált telefonszámára, amely egyszeri jelszót tartalmaz.
  2. TOTP-alapú: Ebben a módszerben a kétfaktoros hitelesítés engedélyezése mellett a felhasználót arra kérik, hogy egy QR-képet szkenneljen be egy adott okostelefon-alkalmazás segítségével.

    Ez az alkalmazás ezt követően folyamatosan generálja az egyszeri jelszót a felhasználó számára.

Az SMS-alapú módszer nem igényel magyarázatot. Könnyű, de megvannak a maga problémái, mint például minden bejelentkezési kísérletnél várni az SMS-t, biztonsági kérdésekre stb. A TOTP-alapú módszer egyre népszerűbb, mivel előnyei vannak az SMS-alapú módszerrel szemben. Tehát értsük meg, hogyan működik a TOTP-alapú módszer.

Hogyan működik a TOTP-alapú módszer

Mielőtt ezt megértenénk, először beszéljük meg, milyen problémákat old meg számunkra ez a módszer.

A TOTP módszer használatával egyszeri jelszót hozunk létre a felhasználói oldalon (a szerveroldali helyett) egy okostelefonos alkalmazáson keresztül.

Ez azt jelenti, hogy a felhasználók mindig hozzáférnek az egyszeri jelszavukhoz. Tehát megakadályozza, hogy a szerver szöveges üzeneteket küldjön minden alkalommal, amikor a felhasználó megpróbál bejelentkezni.

Ezenkívül a létrehozott jelszó egy bizonyos időintervallum után megváltozik, tehát egyszeri jelszóként viselkedik.

Nagy! Most ismerjük meg a TOTP-módszer működését, és próbáljuk meg magunk is megvalósítani a fenti megoldást. Követelményünk, hogy hozzunk létre egy jelszót a felhasználói oldalon, és ennek a jelszónak folyamatosan változnia kell.

A következő lehet a megoldás megvalósításának módja:

When the user enables two factor authentication:
1. Backend server creates a secret key for that particular user.2. Server then shares that secret key with the user’s phone application.3. Phone application initializes a counter.4. Phone application generate a one time password using that secret key and counter.5. Phone application changes the counter after a certain interval and regenerates the one time password making it dynamic.

Ennek működnie kell, de három fő probléma van vele:

  1. Hogyan generál az alkalmazás egyszeri jelszót egy titkos kulcs és számláló segítségével?
  2. Hogyan frissül a számláló? Hogyan fogja nyomon követni a webszerver a számlálót?
  3. Hogyan osztja meg a szerver a titkos kulcsot a telefon alkalmazásával?

Az első probléma megoldását a HOTP algoritmus határozza meg.

A HOTP megértése:

A HOTP jelentése „HMAC-alapú egyszeri jelszó”. Ezt az algoritmust az Internet Engineering Task Force (IETF) RFC4226 néven tette közzé. A HOTP egy algoritmust határoz meg egy egyszeri jelszó létrehozására egy titkos kulcsból és egy számlálóból.

Ezt az algoritmust két lépésben használhatja:

  1. Az első lépés egy HMAC kivonat létrehozása egy titkos kulcsból és számlálóból.
// Obtain HMAC hash (using SHA-1 hashing algorithm) by secretKey and counter
hmacHash = HMAC-SHA-1(secretKey, counter);

2. Ebben a kódban a kimenet 20 bájt hosszú karakterlánc lenne. Ez a hosszú karakterlánc nem alkalmas egyszeri jelszóként. Tehát szükségünk van egy módra a húr csonkítására. A HOTP meghatározza a sztring kívánt hosszúságú csonkolásának módját.

// hmacHash[19] means 19th byte of the string.offset = hmacHash[19] & 0xf;
truncatedHash = (hmacHash[offset++] & 0x7f) << 24 | (hmacHash[offset++] & 0xff) << 16 | (hmacHash[offset++] & 0xff) << 8 | (hmacHashh[offset++] & 0xff);
finalOTP = (truncatedHash % (10 ^ numberOfDigitsRequiredInOTP));

Lehet, hogy ijesztőnek tűnik, de nem az. Ebben az algoritmusban először megkapjuk, offsetmelyik az utolsó 4 bitje hmacHash[19]. Ezt követően, összefűzi a bájtok hmacHash[offset], hogy hmacHash[offset+3]és tárolja az utolsó 31 bit truncatedHash. Végül egy egyszerű modulo művelettel megkapjuk az ésszerű hosszúságú egyszeri jelszót.

Ez nagyjából meghatározza a HOTP algoritmust. Az RFA4226 doc megmagyarázza, hogy miért ez a legbiztonságosabb módszer az egyszeri jelszó megszerzésére ebből az értékből.

Nagy! Tehát megtaláltuk a módját, hogy titkos kulcs és számláló segítségével megszerezzük az egyszeri jelszót. De mi van a második problémával? Hogyan lehet nyomon követni a pultot?

A második probléma megoldását a TOTP tartalmazza.

A TOTP megértése:

A TOTP jelentése „Időalapú egyszeri jelszó”. Ezt RFC6238 néven tette közzé az IETF.

A TOTP uses the HOTP algorithm to obtain the one time password. The only difference is that it uses “Time” in the place of “counter,” and that gives the solution to our second problem.

That means that instead of initializing the counter and keeping track of it, we can use time as a counter in the HOTP algorithm to obtain the OTP. As a server and phone both have access to time, neither of them has to keep track of the counter.

Also, to avoid the problem of different time zones of the server and phone, we can use a Unix timestamp, which is independent of time zones.

However the Unix time is defined in seconds, so it changes every second. That means the generated password will change every second which is not good. Instead, we need to add a significant interval before changing the password. For example, the Google Authenticator App changes the code every 30 seconds.

counter = currentUnixTime / 30

So we have solved the problem of the counter. Now we need to address our third problem: sharing the secret key with the phone application. Here, a QR code can help us.

Using a QR code

Though we can ask the users to type the secret key into their phone application directly, we want to make secret keys quite long for security reasons. Asking the user to type in such a long string would not be a user friendly experience.

Since the majority of smartphones are equipped with a camera, we can use it and ask the user to scan a QR code to obtain the secret key from it. So all we need to do is to convert the secret key in the QR code and show it to the user.

We have solved all three problems! And now you know how TOTP works. Let’s see how to implement it in an application.

How to implement TOTP

There are some free phone applications (like Google Authenticator App, Authy, and so on) available which can generate an OTP for the user. Therefore, in most cases, creating your own phone application is not necessary.

The following pseudo codes explain a way to implement TOTP-based 2-factor authentication in a web application.

When user request to enable 2-factor authentication
// Generate a secret key of length 20.secretKey = generateSecretKey(20);
// Save that secret key in database for this particular user.saveUserSecretKey(userId, secretKey);
// convert that secret key into qr image.qrCode = convertToQrCode(secretKey);
// send the qr image as responseresponse(qrCode);

The user is asked to scan that QR code. When the phone application scans the QR code, it gets the user’s secret key. Using that secret key, the current Unix time, and the HOTP algorithm, the phone application will generate and display the password.

We ask the user to type the generated code after scanning the QR code. This is required, because we want to make sure that the user has successfully scanned the image and the phone application has successfully generated the code.

User types the code displayed in the application.
// Fetch secret key from database.secretKey = getSecretKeyOfUser(userId);
if (codeTypedByUser == getHOTP(secretKey, currentUnixTime / 30)) { enableTwoFactorAuthentication(userId);}

Here we use the HOTP algorithm on the server side to get the OTP-based authentication on the secret key and current unix time. If that OTP is the same as the one typed by the user, then we can enable 2-factor authentication for that user.

Now after every login operation, we need to check if this particular user has 2-factor authentication enabled. If it is enabled, then we ask for the one time password displayed in the phone application. And if that typed code is correct, only then is the user authenticated.

User types the code displayed in the phone application to login
// Fetch secret key from database.secretKey = getSecretKeyOfUser(userId);
if (codeTypedByUser == getHOTP(secretKey, currentUnixTime)) { signIn(userId);}

What happens if the user loses the code?

There are a couple of ways to help the user to recover the code. Usually when they are enabling 2-factor authentication, we can show the secret key to them along with the QR code and ask them to save that code somewhere safely.

Applications like Google Authenticator App let you generate the password by directly entering the secret key. If the user loses the code, they can enter that safely saved secret key in the phone application to generate the OTP again.

If we have the user’s phone number, we can also use the SMS-based method to send an OTP to the user to help them recover the code.

Wrapping Up

Two factor authentication is gaining popularity. A lot of web applications are implementing it for extra security.

Unlike the SMS-based method, the TOTP method does not require a lot of extra effort either. So this feature is worth implementing for any application.