Kata sandi satu kali berbasis waktu (TOTP) adalah algoritme komputer kata sandi satu kali standar. Mereka memperluas kata sandi satu kali kode otentikasi pesan berbasis hash (HMAC) (Kata Sandi Sekali Pakai berbasis HMAC, atau disingkat HOTP).
TOTP dapat digunakan sebagai pengganti, atau sebagai faktor tambahan di samping, dua faktor tradisional yang berumur lebih panjang solusi autentikasi, seperti pesan SMS atau token perangkat keras fisik yang dapat dicuri atau dilupakan dengan mudah. Jadi apa sebenarnya kata sandi satu kali berbasis waktu itu? Bagaimana mereka bekerja?
Apa itu TOTP?
TOTP adalah kode sandi sekali pakai sementara yang dihasilkan sejalan dengan waktu saat ini oleh suatu algoritme untuk otentikasi pengguna. Ini adalah lapisan keamanan tambahan untuk akun Anda yang menjadi dasarnya autentikasi dua faktor (2FA) atau
otentikasi multi-faktor (MFA). Artinya, setelah Anda memasukkan nama pengguna dan kata sandi, Anda diharuskan memasukkan kode tertentu yang berbasis waktu dan berumur pendek.TOTP dinamai demikian karena menggunakan algoritme standar untuk menyusun kode akses satu kali yang unik dan numerik menggunakan Greenwich Mean Time (GMT). Artinya, kode sandi dibuat dari waktu saat ini selama periode tersebut. Kode juga dihasilkan dari rahasia bersama atau kode sandi benih rahasia yang diberikan saat pendaftaran pengguna dengan server autentikasi, baik melalui kode QR atau teks biasa.
Kode sandi ini diperlihatkan kepada pengguna, yang diharapkan menggunakannya untuk waktu tertentu, setelah itu kedaluwarsa. Pengguna memasukkan kode akses satu kali, nama pengguna, dan kata sandi biasa ke dalam formulir login dalam waktu terbatas. Setelah kedaluwarsa, kode tersebut tidak berlaku lagi dan tidak dapat digunakan pada formulir login.
TOTP menyertakan serangkaian kode numerik dinamis, biasanya antara empat dan enam digit, yang berubah setiap 30 hingga 60 detik. Satuan Tugas Teknik Internet (IETF) menerbitkan TOTP, dijelaskan dalam RFC 6238, dan menggunakan algoritme standar untuk mendapatkan kata sandi satu kali.
Anggota dari Inisiatif untuk Otentikasi Terbuka (OATH) adalah otak di balik penemuan TOTP. Itu dijual secara eksklusif di bawah paten, dan vendor otentikasi yang berbeda telah memasarkannya mengikuti standarisasi. Saat ini banyak digunakan oleh aplikasi awan penyedia. Mereka ramah pengguna dan tersedia untuk penggunaan offline, yang membuatnya ideal untuk digunakan di pesawat terbang atau saat Anda tidak memiliki jangkauan jaringan.
Bagaimana Cara Kerja TOTP?
TOTP, sebagai faktor otorisasi kedua pada aplikasi Anda, memberi akun Anda lapisan keamanan ekstra karena Anda perlu memberikan kode sandi numerik satu kali sebelum Anda masuk. Mereka populer disebut "token perangkat lunak", "token lunak", dan "otentikasi berbasis aplikasi" dan temukan kegunaannya di aplikasi autentikasi menyukai Google Authenticator Dan Authy.
Cara kerjanya adalah setelah Anda memasukkan nama pengguna dan kata sandi akun, Anda diminta untuk menambahkan kode TOTP yang valid ke antarmuka login lain sebagai bukti bahwa Anda adalah pemilik akun tersebut.
Pada beberapa model, TOTP sampai ke ponsel cerdas Anda melalui pesan teks SMS. Anda juga bisa mendapatkan kode dari aplikasi smartphone autentikator dengan memindai gambar QR. Metode ini paling banyak digunakan, dan kode biasanya kedaluwarsa setelah sekitar 30 atau 60 detik. Namun, beberapa TOTP dapat bertahan selama 120 atau 240 detik.
Kode sandi dibuat di pihak Anda, bukan di server menggunakan aplikasi autentikator. Untuk alasan ini, Anda selalu memiliki akses ke TOTP sehingga server tidak perlu mengirimkan SMS setiap kali Anda masuk.
Ada metode lain untuk mendapatkan TOTP Anda:
- Token keamanan perangkat keras.
- Pesan email dari server.
- Pesan suara dari server.
Karena TOTP berbasis waktu dan kedaluwarsa dalam hitungan detik, peretas tidak punya cukup waktu untuk mengantisipasi kode sandi Anda. Dengan begitu, mereka memberikan keamanan tambahan untuk sistem otentikasi nama pengguna dan kata sandi yang lebih lemah.
Misalnya, Anda ingin masuk ke workstation Anda yang menggunakan TOTP. Anda pertama-tama memasukkan nama pengguna dan kata sandi untuk akun tersebut, dan sistem meminta Anda untuk TOTP. Anda kemudian dapat membacanya dari token perangkat keras Anda atau gambar QR dan mengetiknya di kolom login TOTP. Setelah sistem mengautentikasi kode sandi, sistem akan memasukkan Anda ke akun Anda.
Algoritme TOTP yang menghasilkan kode sandi memerlukan input waktu perangkat Anda dan benih atau kunci rahasia Anda. Anda tidak memerlukan konektivitas internet untuk membuat dan memverifikasi TOTP, itulah sebabnya aplikasi autentikasi dapat bekerja secara offline. TOTP diperlukan bagi pengguna yang ingin menggunakan akun mereka dan memerlukan autentikasi selama perjalanan dengan pesawat atau di daerah terpencil di mana konektivitas jaringan tidak tersedia.
Bagaimana TOTP Diautentikasi?
Proses berikut memberikan panduan sederhana dan singkat tentang cara kerja proses otentikasi TOTP.
Saat pengguna ingin mengakses aplikasi seperti aplikasi jaringan cloud, mereka diminta untuk memasukkan TOTP setelah memasukkan nama pengguna dan kata sandi. Mereka meminta agar 2FA diaktifkan, dan token TOTP menggunakan algoritme TOTP untuk menghasilkan OTP.
Pengguna memasukkan token pada halaman permintaan, dan sistem keamanan mengonfigurasi TOTP-nya menggunakan kombinasi yang sama dari waktu saat ini dan rahasia atau kunci yang dibagikan. Sistem membandingkan dua kode sandi; jika cocok, pengguna diautentikasi dan diberikan akses. Penting untuk diperhatikan bahwa sebagian besar TOTP akan mengautentikasi dengan kode QR dan gambar.
TOTP vs. Kata Sandi Sekali Pakai Berbasis HMAC
One-time Password berbasis HMAC menyediakan kerangka kerja di mana TOTP dibangun. Baik TOTP dan HOTP memiliki kesamaan, karena kedua sistem menggunakan kunci rahasia sebagai salah satu masukan untuk membuat kode sandi. Namun, sementara TOTP menggunakan waktu saat ini sebagai masukan lainnya, HOTP menggunakan penghitung.
Selain itu, dalam hal keamanan, TOTP lebih aman daripada HOTP karena kata sandi yang dibuat akan kedaluwarsa setelah 30 hingga 60 detik, setelah itu dibuat kata sandi baru. Di HOTP, kode sandi tetap valid hingga Anda menggunakannya. Karena alasan ini, banyak peretas dapat mengakses HOTP dan menggunakannya untuk melakukan serangan siber yang berhasil. Meskipun HOTP masih digunakan oleh beberapa layanan autentikasi, sebagian besar aplikasi autentikator yang populer memerlukan TOTP.
Apa Manfaat Menggunakan TOTP?
TOTP bermanfaat karena memberi Anda lapisan keamanan tambahan. Sistem nama pengguna-kata sandi saja sudah lemah dan sering menjadi sasaran Serangan Man-in-the-Middle. Namun, dengan sistem 2FA/MFA berbasis TOTP, peretas tidak memiliki cukup waktu untuk mengakses TOTP Anda bahkan jika mereka telah mencuri kata sandi tradisional Anda, sehingga mereka memiliki sedikit peluang untuk meretas Anda akun.
Otentikasi TOTP Memberikan Keamanan Tambahan
Penjahat dunia maya dapat dengan mudah mengakses nama pengguna dan kata sandi Anda dan meretas akun Anda. Namun, dengan sistem 2FA/MFA berbasis TOTP, Anda dapat memiliki akun yang lebih aman karena TOTP terikat waktu dan kedaluwarsa dalam hitungan detik. Menerapkan TOTP jelas sangat berharga.