концепції / one-time-passwords
Одноразові паролі (TOTP)
Канал демістифікує Google Authenticator одним рядком: TOTP — це просто HMAC від спільного секрету та поточного інтервалу Unix-часу (наприклад, 30-секундні вікна). Коли ви скануєте QR-код, ваш телефон і сервер отримують той самий секрет; обидва обчислюють однаковий HMAC для поточного вікна, тож шість цифр збігаються без жодного мережевого обміну (відео про асиметричне шифрування і підписи).
Наслідок, на який вказує Віктор, — розгадка класичної загадки служби підтримки: якщо годинник телефона збитий, коди обчислюються для неправильного часового вікна і просто недійсні. Жодної магії, жодного надсилання кодів із сервера — лише хеш із ключем і синхронізований годинник.
Розібрано у відео
- Що захищає твої дані й гроші від хакерів? Асиметричне шифрування та цифровий підпис
TOTP = HMAC(спільний секрет, інтервал Unix-часу); телефон і сервер тримають той самий секрет; збитий годинник — недійсні коди
Повʼязане
Хешування — HMAC — це конструкція хешу з ключем. Цифрові підписи — HMAC — симетричний родич цифрового підпису. Практики безпеки — 2FA як стандартний шар захисту.