TOTP (Time-based One-Time Password, Одноразовый пароль на основе времени) — это алгоритм генерации одноразовых паролей (OTP), который использует текущее время в качестве источника изменчивости для создания уникального цифрового кода, действительного в течение короткого промежутка времени (обычно 30 или 60 секунд). TOTP является стандартизированным и широко распространённым методом двухфакторной (2FA) или многофакторной аутентификации (MFA).
Возможности TOTP:
- Генерация динамических одноразовых паролей: Создание кодов, которые автоматически меняются через заданные интервалы времени, что исключает возможность их повторного использования.
- Офлайн-работа: Коды генерируются локально на устройстве пользователя (в приложении-аутентификаторе) без необходимости постоянного сетевого соединения с сервером, что повышает доступность.
- Синхронизация по времени: Алгоритм использует синхронизированное время между сервером аутентификации и устройством пользователя (через NTP) для валидации кода.
- Поддержка в стандартных приложениях-аутентификаторах: Работает с популярными приложениями, такими как Google Authenticator, Microsoft Authenticator, Authy, FreeOTP и другими.
- Простота интеграции: Легко внедряется в веб-приложения, мобильные приложения и корпоративные системы благодаря открытому стандарту (RFC 6238), основанному на HMAC (Hash-based Message Authentication Code).
TOTP является развитием более раннего алгоритма HOTP (HMAC-based One-Time Password), который использовал счётчик вместо времени. Использование времени делает TOTP более удобным и безопасным, так как окно валидности кода ограничено. Для настройки TOTP пользователь сканирует QR-код (содержащий секретный ключ) или вводит ключ вручную в приложение-аутентификатор. Этот секретный ключ хранится как на сервере, так и на устройстве пользователя и никогда не передаётся по сети после первоначальной настройки.
Хотя TOTP значительно безопаснее, чем однофакторная аутентификация (только пароль), он всё же может быть уязвим для атак, таких как фишинг с перехватом кода (real-time phishing), если пользователь вводит код на поддельном сайте. Для обеспечения максимальной защиты рекомендуется использовать FIDO2/WebAuthn с аппаратными ключами безопасности, которые устойчивы к фишингу. Тем не менее, TOTP остаётся одним из самых популярных, доступных и удобных методов MFA для массового применения.
Упоминания
-
10 июня 2026
Более 20% крупных компаний не используют двухфакторную аутентификацию
Около 78% крупных компаний применяют двухфакторную аутентификацию (2FA) для защиты своих систем, тогда как 22% не используют такие меры, как... -
23 апреля 2026
RED Security MFA расширил возможности по защите учетных записей
Компания RED Security сообщила редакции SecPost об обновлении сервиса многофакторной аутентификации RED Security MFA. Теперь сервис позволяет применять MFA на... -
23 марта 2026
Индид и Ideco объединили NGFW с системой многофакторной аутентификации
Компании «Индид», российский разработчик решений в области защиты айдентити, и Ideco, ведущий производитель решений информационной безопасности для защиты сетей и... -
18 марта 2026
BI.ZONE ZTNA добавила поддержку Ubuntu
В клиентском приложении BI.ZONE ZTNA появилась поддержка дистрибутива Ubuntu (версии 22.04–24.04), а также новые режимы работы VPN-туннеля и расширенные опции многофакторной аутентификации.... -
3 февраля 2026
BI.ZONE добавила в Mail Security анализ эмоций в тексте для борьбы с фишингом
В обновлении 2.11 BI.ZONE Mail Security появился модуль на базе искусственного интеллекта, предназначенный для анализа эмоциональной окраски текста в письмах. Как...
