Question 1

В чём разница между TOTP и HOTP?

Accepted Answer

TOTP (одноразовый пароль на основе времени) генерирует новый 6-значный код каждые 30 секунд, используя текущую временну́ю метку как входные данные — именно так работают приложения-аутентификаторы, такие как Google Authenticator. HOTP (одноразовый пароль на основе HMAC) генерирует коды на основе счётчика, который увеличивается при каждом использовании, делая каждый код действительным до его использования, а не истекающим по времени.

Question 2

Безопасно ли генерировать OTP в браузере?

Accepted Answer

Этот инструмент использует Web Crypto API с HMAC-SHA1 полностью в вашем браузере — ваш секретный ключ никогда не покидает устройство. Однако хранить секретный ключ в браузерном инструменте менее безопасно, чем в специализированном приложении-аутентификаторе (например, Authy или Google Authenticator), которое хранит секреты в защищённом хранилище приложения, иногда с биометрической блокировкой.

Question 3

В каком формате должен быть секретный ключ?

Accepted Answer

Секретный ключ должен быть в кодировке Base32 — с использованием символов A-Z и 2-7, а также необязательных символов заполнения `=`. Большинство QR-кодов настройки 2FA кодируют секрет в Base32 внутри URI otpauth://. Типичная длина секрета — 16 или 32 символа (80 или 160 бит).

Question 4

Почему у TOTP окно в 30 секунд?

Accepted Answer

RFC 6238 определяет временной шаг по умолчанию как 30 секунд — это компромисс между удобством (достаточно времени, чтобы прочитать и ввести код) и безопасностью (достаточно короткий, чтобы украденный код нельзя было использовать долго). Большинство серверов также принимают коды из соседних временны́х окон (±30 с), чтобы допустить небольшое расхождение часов.

Question 5

Для чего используется URI otpauth://?

Accepted Answer

URI otpauth:// кодирует все параметры, необходимые для добавления учётной записи в приложение-аутентификатор: тип (totp/hotp), эмитент, имя учётной записи, секрет, алгоритм, количество цифр и период. Когда этот URI закодирован в виде QR-кода, приложения-аутентификаторы могут его сканировать для автоматической настройки.

Генератор OTP

Часто задаваемые вопросы

Comments & Feedback