TOTP 2FA QR Kodları Açıklandı

otpauth:// URI formatı, base32 gizlilikleri ve RFC 6238 TOTP matematik içine teknik bir derin dalış.

TOTP Nedir

TOTP (Zaman Tabanlı Tek Seferlik Parola, RFC 6238), Google Authenticator, Authy, 1Password, Bitwarden ve diğer tüm kimlik doğrulama uygulamalarının arkasındaki algoritma. Paylaşılan bir gizlilik ve mevcut Unix zamanına dayalı olarak her 30 saniyede değişen 6 haneli bir kod üretir.

otpauth URI

otpauth://totp/Issuer:account@example.com?secret=BASE32SECRET&issuer=Issuer&algorithm=SHA1&digits=6&period=30

URI şeması otpauth://, tür totp (diğer seçenek hotp, sayaç tabanlı), ardından etiket, ardından sorgu parametreleri. Kimlik doğrulama uygulamaları bu URI'yi ayrıştırır ve bir tarama ile kullanıcının kasasına ekler.

Etiket

İsteğe bağlı biçim: Issuer:account@example.com। Issuer öneki issuer sorgu parametresi ile gereksiz ancak çoğu uygulama her ikisine de saygı duyar.

Gizlilik

Base32 kodlanmış bayt dizesi (A-Z ve 2-7, dolgu yok). En az 128 bit önerilir, çoğu sunucu 160 bit (32 base32 karakter) kullanır। Hiçbir zaman gizliliği URL kodlama yapın; bunu ham base32 olarak bırakın।

Algoritma, Basamaklar, Dönem

algorithm: SHA1 (varsayılan, evrensel olarak desteklenir), SHA256 veya SHA512। digits: 6 (varsayılan) veya 8। period: 30 saniye (varsayılan) veya 60। Bir neden yoksa varsayılana bağlı kalın, bazı kimlik doğrulama uygulamaları varsayılan olmayan seçenekleri uygulamaz।

Kod Nasıl Hesaplanır

Her 30 saniyelik aralıkta, kimlik doğrulayıcı şunu yapar: HMAC-SHA1(secret, floor(unix_time / 30)), HMAC'ın son 4 bitini dinamik ofset olarak alır, bu ofset başlayarak 4 bayt okur, 31 bite maskelenir ve 6 haneli bir kod elde etmek için 10⁶ modulo tarafından azaltılır।

Bir Tane Oluşturmak için Abundera QR Kullanın

TOTP oluşturucuyu açın, ihraçatçı (marka adınız), hesap (kullanıcının e-postası veya kullanıcı adı) ve base32 gizliliğini doldurun। Algoritma/basamaklar/dönem için varsayılanlar neredeyse her sunucu için doğru। PNG'yi indirin ve kullanıcıya e-posta veya SMS gönderin, veya kayıt akışınıza gömün।

Gizlilik Notu

TOTP gizliliğiniz, sunucu ile kullanıcı arasında paylaşılan bir kimlik bilgisidir। Abundera QR hiçbir birini görmez। Tüm kodlama tarayıcıda gerçekleşir। Tam Gizlilik Politikasını Okuyun।