시간 기반 원타임 패스워드

Time-Based One-Time Password(TOTP; 시간 기반 원타임패스워드)는 현재 시각을 일의의 소스로 사용하는 One-Time Password(OTP; 원타임패스워드)를 생성하는 컴퓨터 알고리즘입니다.HMAC 기반의 One-Time Password Algorithm(HOTP; 원타임패스워드 알고리즘)의 확장으로서 Internet Engineering Task Force(IETF; 인터넷 기술 특별 조사위원회) 규격으로 채택되었습니다. RFC 6238.^[1]

TOTP는 Initiative for Open Authentication(OATH; 오픈 인증 이니셔티브)의 기초가 되는 것으로, 다수의 2 요소 인증(2FA) 시스템에서 사용됩니다.

역사

복수의 OFRSE 멤버의 협업을 통해서, 업계 베이스의 스탠다드를 작성하기 위해서, TOTP 초안이 작성되었습니다.이벤트 기반의 일회성 표준 HOTP를 보완하여 최종 사용자 조직 및 기업이 애플리케이션 요건 및 보안 가이드라인에 가장 적합한 기술을 선택할 수 있도록 지원합니다.2008년, OPEASH는 IETF에 규격 초안 버전을 제출했다.이 버전은 저자가 IETF에 ^[2]제출된 이전 버전을 기반으로 기술 공동체로부터 받은 모든 피드백과 논평을 통합합니다.2011년 5월에 TOTP는 공식적으로 RFC 6238이 ^[1]되었습니다.

알고리즘.

TOTP 인증을 확립하려면 인증자와 오센티케이터는 HOTP 파라미터와 다음 TOTP 파라미터를 모두 사전에 설정해야 합니다.

T₀, 시간 스텝 카운트를 시작하는 Unix 시간(기본값은 0),
T_X: 카운터_T C의 값 계산에 사용되는 간격(기본값은 30초).

오센티케이터와 오센티케이트는 모두 TOTP 값을 계산한 후 오센티케이터가 제공한TOTP 값이 로컬로 생성된TOTP 값과 일치하는지 여부를 확인합니다.일부 오센티케이터에서는 약간의 클럭스큐, 네트워크 지연 및 사용자 지연을 고려하기 위해 현재 시각 전후에 생성되어야 할 값을 사용할 수 있습니다.

TOTP는 HOTP 알고리즘을 사용하여 카운터를 현재 시간에 따라 감소하지 않는 값으로 바꿉니다.

TOTP 값(K) = HOTP 값(K, C_T),

계산 카운터 값

C_{T}=\left\lfloor {frac {T-T_{0}}{T_{X}}\right\rfloor,

어디에

C는_T T와 T 사이의₀ 지속_X 시간 T의 카운트입니다.
T는 특정 에폭 이후의 현재 시간(초)입니다.
T는 Unix epoch 이후의 초단위로 지정된 에폭(예를₀ 들어 Unix 시간을 사용하는 경우 T는₀ 0)입니다.
T는_X 1회 지속 시간(예: 30초)의 길이입니다.

Unix 의 시간은 엄밀하게 증가하고 있지 않습니다.UTC 에 윤초를 삽입하면, Unix 의 시간은 1 초가 반복됩니다.단, 윤초가 1초라고 해서 Unix 시간의 정수 부분이 감소하는_T 것은 아닙니다.또,^{[original research?]} T가_X 1초의 배수인 한, C는 감소하지 않습니다.

보안.

비밀번호와 달리 TOTP 코드는 일회용이므로 손상된 자격 증명은 제한된 시간 동안만 유효합니다.단, 사용자는 인증 페이지에 TOTP 코드를 입력해야 합니다.이것에 의해, 피싱 공격의 가능성이 생깁니다.TOTP 코드가 유효하기 때문에 공격자는 실시간으로 ^[3]credential을 프록시해야 합니다.

또한 TOTP credential은 클라이언트와 서버 양쪽에서 알려진 공유 비밀 정보를 기반으로 하며, 비밀 정보가 ^[4]도난당할 수 있는 여러 위치를 만듭니다.공격자는 이 공유 비밀 정보에 액세스할 수 있는 새로운 유효한 TOTP 코드를 임의로 생성할 수 있습니다.이는 공격자가 대규모 ^[5]인증 데이터베이스를 침해했을 때 특히 문제가 될 수 있습니다.

「」를 참조해 주세요.

레퍼런스

^ ^a ^b "RFC 6238 – TOTP: Time-Based One-Time Password Algorithm". Archived from the original on July 11, 2011. Retrieved July 13, 2011.
^ Alexander, Madison. "OATH Submits TOTP: Time-Based One Time Password Specification to IETF". Open Authentication. Archived from the original on 9 April 2013. Retrieved 22 February 2010.
^ Umawing, Jovi (21 January 2019). "Has two-factor authentication been defeated? A spotlight on 2FA's latest challenge". Malwarebytes Labs. Archived from the original on 25 September 2020. Retrieved 9 August 2020.
^ "Time-Based One-Time Passwords (TOTP)". www.transmitsecurity.com. 25 June 2020. Retrieved 2 May 2022.
^ Zetter, Kim. "RSA Agrees to Replace Security Tokens After Admitting Compromise". WIRED. Archived from the original on 12 November 2020. Retrieved 17 February 2017.

외부 링크

Jupyter 노트북에 Python을 단계적으로 구현
도커 허브 2단계 인증 설계('시간 기반 원타임 패스워드(TOTP) 인증 사용' 섹션).

[RFC6238-1] "RFC 6238 – TOTP: Time-Based One-Time Password Algorithm". Archived from the original on July 11, 2011. Retrieved July 13, 2011.

[2] Alexander, Madison. "OATH Submits TOTP: Time-Based One Time Password Specification to IETF". Open Authentication. Archived from the original on 9 April 2013. Retrieved 22 February 2010.

[3] Umawing, Jovi (21 January 2019). "Has two-factor authentication been defeated? A spotlight on 2FA's latest challenge". Malwarebytes Labs. Archived from the original on 25 September 2020. Retrieved 9 August 2020.

[4] "Time-Based One-Time Passwords (TOTP)". www.transmitsecurity.com. 25 June 2020. Retrieved 2 May 2022.

[5] Zetter, Kim. "RSA Agrees to Replace Security Tokens After Admitting Compromise". WIRED. Archived from the original on 12 November 2020. Retrieved 17 February 2017.

[1]

[2]

[3]

[4]

[5]

Search

시간 기반 원타임 패스워드

네임스페이스

더

목차

역사

알고리즘.

보안.

「」를 참조해 주세요.

레퍼런스

외부 링크

Search

시간 기반 원타임 패스워드

역사

알고리즘.

보안.

「 」를 참조해 주세요.

레퍼런스

외부 링크

「」를 참조해 주세요.