Віктор Турський про програмування / навігатор

концепції / one-time-passwords

Одноразові паролі (TOTP)

Канал демістифікує Google Authenticator одним рядком: TOTP — це просто HMAC від спільного секрету та поточного інтервалу Unix-часу (наприклад, 30-секундні вікна). Коли ви скануєте QR-код, ваш телефон і сервер отримують той самий секрет; обидва обчислюють однаковий HMAC для поточного вікна, тож шість цифр збігаються без жодного мережевого обміну (відео про асиметричне шифрування і підписи).

Наслідок, на який вказує Віктор, — розгадка класичної загадки служби підтримки: якщо годинник телефона збитий, коди обчислюються для неправильного часового вікна і просто недійсні. Жодної магії, жодного надсилання кодів із сервера — лише хеш із ключем і синхронізований годинник.

Розібрано у відео

Повʼязане

Хешування — HMAC — це конструкція хешу з ключем. Цифрові підписи — HMAC — симетричний родич цифрового підпису. Практики безпеки — 2FA як стандартний шар захисту.