O que é TOTP? Tudo o que você precisa saber sobre senhas de uso único baseadas em tempo

Você provavelmente já teve que inserir um código de seis dígitos de um aplicativo de autenticação ao iniciar sessão on-line. Isso é conhecido como uma senha de uso único baseada em tempo, ou TOTP, e é uma maneira incrivelmente fácil de aumentar a segurança das suas contas on-line.

Graças à rápida expiração de 30 a 60 segundos desses códigos, eles tornam quase impossível para os cibercriminosos acessarem sua conta, mesmo que consigam roubar suas senhas. Vamos explorar o que são as TOTPs, como elas funcionam e como se comparam com outros métodos de autenticação.

O que é TOTP?

Uma TOTP é um tipo de senha de uso único (OTP) que gera códigos temporários usando o tempo como um ingrediente fundamental. Esses códigos mudam a cada 30 a 60 segundos, tornando extremamente difícil para os cibercriminosos comprometê-los. No caso improvável de eles descobrirem seu código de alguma forma, sua curta vida útil rapidamente o torna quase inútil para um invasor.

O TOTP é um método de autenticação de dois fatores (A2F) que adiciona uma camada extra de segurança ao seu nome de usuário e senha. Ele é prático de usar — basta gerar o código a partir de um aplicativo de autenticação — e sua natureza baseada em tempo o torna muito seguro.

Como funciona o TOTP?

De forma simples, o TOTP funciona compartilhando uma chave secreta entre o serviço que você está protegendo e seu aplicativo TOTP.

Ao ativar a A2F, você escaneia um código QR para compartilhar a chave secreta com o seu autenticador TOTP. Os aplicativos de TOTP são gratuitos, e os mais comuns incluem o Google Authenticator e o Microsoft Authenticator. Se você estiver usando um gerenciador de senhas seguro, ele pode ter um autenticador A2F integrado que gera códigos TOTP. O Proton Pass é um desses gerenciadores de senhas; ele armazena suas senhas com segurança e gera seus códigos de A2F, tudo em um único aplicativo.

Assim que a configuração inicial for concluída, o serviço no qual você está iniciando sessão e o aplicativo de autenticação se sincronizam para calcular de forma independente o mesmo código ao mesmo tempo, usando a chave secreta. Ao iniciar sessão, você será solicitado a inserir um código de A2F. Se o código do serviço corresponder ao que você inseriu, sua sessão será iniciada.

As diferenças entre o TOTP e outras senhas de uso único

O TOTP é apenas um dos vários métodos de senha de uso único (OTP). Aqui está uma visão geral rápida de como o TOTP se compara a eles. Você também pode encontrar um guia mais detalhado sobre a diferença entre TOTPs, OTPs e HOTPs.

TOTP vs OTP

OTP é um termo genérico para senhas de uso único. O TOTP é um tipo de OTP que usa um modelo baseado em tempo para gerar códigos OTP. Todos os TOTPs são OTPs, mas existem outros métodos de OTP. Eles incluem códigos por SMS e e-mail, e HOTP. Cada método tem formas diferentes de gerar e entregar seu código OTP.

TOTP vs HOTP

As senhas de uso único baseadas em HMAC (HOTPs) geram um novo código OTP apenas quando solicitado. Isso significa que cada código é válido até que um novo seja gerado, o que os torna mais propensos a serem comprometidos. Os códigos TOTP são atualizados automaticamente após 30 a 60 segundos, de modo que os invasores têm menos tempo para usar códigos roubados.

TOTP vs códigos de SMS e e-mail

Os códigos por SMS e e-mail são entregues por redes de celular e de internet, o que os torna vulneráveis a interceptação. Se você estiver usando redes mal protegidas ou comprometidas, invasores podem espionar sua atividade e obter seus códigos OTP. Em comparação, os códigos TOTP são gerados no dispositivo e não são transmitidos por nenhuma rede, tornando-os mais seguros.

Os benefícios de segurança do TOTP

Existem vários benefícios de segurança ao usar o TOTP como seu método preferido de OTP.

• Códigos com limite de tempo: os códigos TOTP expiram em 30 a 60 segundos antes que um novo código seja gerado. Isso não dá praticamente nenhum tempo para os invasores usarem códigos TOTP roubados, pois os códigos expirados não podem ser reutilizados.
• À prova de interceptação: os códigos TOTP são gerados no dispositivo. Eles não são transmitidos por redes onde poderiam ser interceptados devido à falta de segurança da rede.
• Proteção contra violações: se sua senha for exposta em uma violação de dados, os códigos TOTP fornecem uma barreira adicional contra inícios de sessão não autorizados. Os invasores não poderão acessar sua conta sem o seu aplicativo de autenticação.
• Funciona em qualquer smartphone: o TOTP funciona diretamente do seu smartphone — sem necessidade de comprar um token físico. Basta baixar um aplicativo de autenticação no seu dispositivo e pronto.

O TOTP oferece uma excelente segurança, mas não é perfeito. Perder seu dispositivo pode bloquear seu acesso às contas, então sempre salve os códigos de backup. Além disso, certifique-se de que os relógios dos seus dispositivos sincronizem de forma automática com a internet, pois configurações de hora incorretas são uma causa comum de falhas no TOTP.

Proteja suas contas com o TOTP

O TOTP aumenta a segurança da sua conta com códigos baseados em tempo que são superiores a outros métodos de OTP. Gerenciar várias senhas e códigos de A2F não precisa ser uma dor de cabeça — basta usar o Proton Pass, um gerenciador de senhas com um autenticador TOTP integrado.

O Proton Pass combina o armazenamento e a geração de senhas com um autenticador de A2F, eliminando a necessidade de alternar entre aplicativos ao iniciar sessão e de baixar aplicativos extras. Ele economiza seu precioso espaço de armazenamento e torna o início de sessão com A2F simples e fluido. Tudo o que você armazena no Proton Pass, incluindo os códigos que gera, está protegido por uma poderosa criptografia de ponta a ponta.

Leve a segurança do seu início de sessão para o próximo nível — ative o TOTP para suas contas e armazene todas as suas senhas com o Proton Pass hoje mesmo.