Se você já usou um token físico para aprovar transações bancárias digitais ou tocou em uma YubiKey para gerar um código de início de sessão, você já usou a tecnologia de senha de uso único baseada em HMAC (HOTP). Para ajudar você a entender como usar o HOTP para proteger suas contas, vamos explorar como o HOTP funciona, seus benefícios e limitações, e compará-lo com outros métodos de OTP.

O que é HOTP?

HOTP significa senha de uso único baseada em HMAC. É um método de autenticação de dois fatores (A2F) que gera códigos de início de sessão de uso único sob demanda.

O HMAC, ou Código de Autenticação de Mensagem Baseado em Hash, é uma técnica criptográfica que usa uma chave secreta e uma função de hash para produzir um valor seguro e resistente a adulterações. O HOTP aplica o HMAC junto com um contador para garantir que cada código de autenticação seja exclusivo e possa ser usado apenas uma vez.

Como os códigos HOTP permanecem válidos até serem usados ou substituídos, eles são ideais para o trabalho remoto e outros ambientes onde a sincronização de tempo confiável ou a conectividade constante não são possíveis.

Como funciona o HOTP?

A autenticação HOTP baseia-se em dois componentes compartilhados: uma chave secreta e um contador. Tanto o dispositivo do usuário quanto o servidor de autenticação armazenam esses valores e os usam para gerar de forma independente o mesmo código de uso único.

Configuração: quando um token físico é configurado, uma chave secreta é compartilhada entre o dispositivo e o servidor do aplicativo, sendo armazenada de forma segura em ambos os lados.

Geração de código: o dispositivo usa uma função de hash criptográfica chamada HMAC para combinar a chave secreta com o valor atual do contador. O resultado é uma senha de uso único curta e imprevisível.

Autenticação: quando você insere o código HOTP, o servidor realiza o mesmo cálculo usando sua própria cópia da chave secreta e do contador. Se os códigos corresponderem, o acesso será concedido.

Entenda o sistema de contador do HOTP

O HOTP depende de um sistema de contador exclusivo compartilhado entre seu dispositivo e o servidor de autenticação. Cada vez que você gera um novo código, o contador é incrementado. Após um início de sessão bem-sucedido, o servidor também atualiza seu contador. Desde que os contadores do dispositivo e do servidor permaneçam sincronizados, os códigos corresponderão e concederão acesso a você.

Pense no HOTP como um talão de cupons numerados que você destaca e usa em sequência. Um cupom usado não pode ser reutilizado, e você deve usar o próximo. O sistema de contador do HOTP funciona de maneira semelhante.

Autenticação HOTP vs. outros OTPs

HOTP vs OTP

Senhas de uso único (OTP) é um termo amplo para as várias senhas de uso único que usamos para A2F. O HOTP é um tipo específico de OTP que depende de um sistema baseado em contador para gerar seus códigos.

HOTP vs TOTP

As senhas de uso único baseadas em tempo (TOTP) geram automaticamente um novo código a cada 30 a 60 segundos. O exemplo mais comum de TOTP são os códigos gerados por aplicativos de autenticação. O HOTP, por outro lado, gera um novo código apenas quando solicitado, usando um contador em vez de um temporizador.

Essa diferença afeta a segurança de cada método OTP. A rápida expiração do TOTP dá aos invasores uma janela de oportunidade muito pequena. Por outro lado, os códigos HOTP podem permanecer válidos por dias e até semanas.

No entanto, o HOTP é mais confiável em situações em que os dispositivos têm relógios imprecisos. Por exemplo, equipamentos em localizações remotas com conexões de internet fracas.

HOTP vs. SMS e códigos de e-mail

Os códigos OTP enviados por SMS e e-mail são suscetíveis a interceptação porque precisam trafegar por redes de celular e internet. O HOTP gera códigos no dispositivo, tornando-o mais seguro e fornecendo acesso consistente mesmo durante interrupções na rede.

Quais são os benefícios e as limitações do HOTP?

Os benefícios da autenticação HOTP

Há várias vantagens em usar o HOTP como seu método OTP preferido:

  • Funciona off-line: o HOTP pode operar off-line, o que o torna ideal para localizações com acesso restrito à internet.
  • Sem pressão de tempo: os códigos HOTP não expiram automaticamente, então você pode levar o tempo que precisar para inserir o código.
  • Algoritmo reconhecido: o HOTP é definido pela RFC 4226(nova janela), o que garante a compatibilidade entre provedores de software e tokens de hardware de vários fornecedores.
  • Menos dependências: o sistema baseado em contador do HOTP não depende de relógios precisos ou conectividade contínua, o que pode torná-lo mais previsível em determinados ambientes.

As limitações da autenticação HOTP

Como acontece com todas as tecnologias, o HOTP vem com algumas considerações importantes:

  • Validade por tempo indeterminado: os códigos HOTP podem permanecer ativos indefinidamente se nenhum código novo for gerado. Isso dá aos invasores mais tempo para explorar códigos roubados.
  • Sincronização de contador: se você gerar códigos sem usá-los, os contadores do seu dispositivo e do servidor podem perder a sincronização, causando falhas de autenticação.
  • Gerenciamento manual: como os códigos não expiram automaticamente, você deve se lembrar de gerar novos códigos após cada uso.

Dê um passo em direção a uma segurança de senha mais forte

Embora o HOTP possa não oferecer o benefício de segurança da expiração automática ou a conveniência dos códigos SMS, seu sistema baseado em contador oferece vantagens exclusivas. Trata-se de um sistema de A2F comprovado com acesso off-line confiável, e a ausência de pressão de tempo pode torná-lo preferível para alguns.
Para gerenciar facilmente suas senhas e códigos de A2F em uma única localização criptografada, considere usar o Proton Pass. Nosso gerenciador de senhas seguro com um autenticador de A2F integrado mantém todas as suas credenciais e códigos de A2F protegidos com criptografia de ponta a ponta total. Manter sua vida digital segura e prática nunca foi tão simples.