TOTP 2FA QR-koodit selitetty

Tekninen syvä sukellus otpauth:// URI-muotoon, base32-salaisuuksiin ja RFC 6238 TOTP-matematiikkaan.

Mikä on TOTP

TOTP (Time-based One-Time Password, RFC 6238) on algoritmi, joka on Google Authenticatorin, Authyn, 1Passwordin, Bitwarden ja jokaisen muun todennus-sovelluksen taustalla. Se tuottaa 6-numeroisen koodin, joka muuttuu 30 sekunnin välein jaetun salaisuuden ja nykyisen Unix-ajan perusteella.

otpauth URI

otpauth://totp/Issuer:account@example.com?secret=BASE32SECRET&issuer=Issuer&algorithm=SHA1&digits=6&period=30

URI-kaavio on otpauth://, tyyppi on totp (toinen vaihtoehto on hotp, laskuriin perustuva), sitten nimike, sitten kyselyparametrit. Todennus-sovellukset jäsentävät tämän URI:n ja lisäävät sen käyttäjän holvin yhteen skannauksella.

Nimike

Valinnainen muoto: Issuer:account@example.com. Issuer-etuliite on tarpeeton issuer-kyselyparametrin kanssa, mutta useimmat sovellukset kunnioittavat molempia.

Salaisuus

Base32-koodattu tavuketju (A-Z ja 2-7, ei täytettä). Suositellaan vähintään 128 bittiä, useimmat palvelimet käyttävät 160 bittiä (32 base32-merkkiä). Älä koskaan koodaa salaisuuden URL:ää; jätä se raakaksi base32:ksi.

Algoritmi, numerot, jakso

algorithm: SHA1 (oletus, universaalisti tuettu), SHA256 tai SHA512. digits: 6 (oletus) tai 8. period: 30 sekuntia (oletus) tai 60. Pysy oletuksissa, ellei sinulla ole syytä, jotkin todennus-sovellukset eivät tue muita kuin oletusvaihtoehtoja.

Kuinka koodi lasketaan

Jokaisella 30 sekunnin välillä todennus tekee: HMAC-SHA1(secret, floor(unix_time / 30)), ottaa HMAC:n viimeiset 4 bittiä dynaamiseksi siirtymäksi, lukee 4 tavua tuosta siirtymästä alkaen, peittää 31 bittiin ja vähentää modulo 10⁶ saadakseen 6-numeroisen koodin.

Luo yksi Abundera QR:llä

Avaa TOTP-generaattori, täytä liikkeeseenlaskija (tuotteen nimi), tili (käyttäjän sähköposti tai käyttäjänimi) ja base32-salaisuus. Algoritmin/numeroiden/jakson oletukset ovat oikein lähes jokaiselle palvelimelle. Lataa PNG ja lähetä se käyttäjälle sähköpostilla tai tekstiviestillä, tai upota se rekisteröintivirtaukseen.

Yksityisyysselosteen

TOTP-salaisuutesi on jaettu todistus palvelimen ja käyttäjän välillä. Abundera QR ei näe kumpaakaaan. Kaikki koodaus tapahtuu selaimessa. Lue täydellinen yksityisyyspolicy.