Senha de uso único baseada em tempo (TOTP)

Também conhecido como: RFC 6238, OTP temporal

Algoritmo de senha de uso único definido pela RFC 6238 que deriva um código curto a partir de um segredo partilhado e da hora atual, renovado a cada 30 segundos.

O TOTP é um mecanismo de segundo fator amplamente utilizado em que a aplicação autenticadora do utilizador (Google Authenticator, Authy, 1Password) e o servidor partilham a mesma semente simétrica e calculam o mesmo hash HMAC-SHA1 sobre o tempo Unix atual dividido em janelas de 30 segundos. O código visível de 6 a 8 dígitos muda automaticamente e só é válido por um curto intervalo, o que limita o valor de códigos observados por cima do ombro ou capturados por phishing. Após o aprovisionamento da semente (normalmente por leitura de um código QR), o TOTP funciona totalmente offline. As suas principais fragilidades são os proxies de phishing em tempo real (AiTM) que retransmitem códigos, malware no dispositivo e o comprometimento da semente no servidor; quando possível, prefere-se FIDO2 e passkeys.

Exemplos

Ler um código QR no Google Authenticator para ativar 2FA numa conta GitHub.
Introduzir um código de 6 dígitos de uma aplicação autenticadora ao iniciar sessão num portal bancário.

Senha de uso único baseada em tempo (TOTP)

Exemplos

Termos relacionados

Palavra-passe de uso único (OTP)

Senha de uso único baseada em HMAC (HOTP)

Autenticação multifator (MFA)

Autenticação em dois fatores (2FA)

FIDO2

Passkey

Definição

Exemplos

Termos relacionados

Palavra-passe de uso único (OTP)

Senha de uso único baseada em HMAC (HOTP)

Autenticação multifator (MFA)

Autenticação em dois fatores (2FA)

FIDO2

Passkey