Одноразовый пароль на основе времени (TOTP)

TOTP — широко применяемый механизм второго фактора, в котором приложение-аутентификатор пользователя (Google Authenticator, Authy, 1Password) и сервер используют один и тот же симметричный seed и вычисляют одинаковый HMAC-SHA1 от текущего времени Unix, разделённого на 30-секундные окна. Отображаемый 6–8-значный код автоматически меняется и действует только короткий промежуток, что снижает ценность кодов, подсмотренных или украденных через фишинг. После настройки seed (обычно по QR-коду) TOTP работает полностью офлайн. Основные слабости — фишинговые прокси реального времени (AiTM), ретранслирующие коды, вредоносное ПО на устройстве и компрометация seed на сервере; там, где это возможно, предпочтительнее FIDO2 и passkey.