Authenticator app — foydalanuvchi qurilmasida bir martalik autentifikatsiya kodlarini hosil qiladigan yoki login so‘rovini kriptografik tasdiqlaydigan dastur. Eng keng tarqalgan tur TOTP standartiga asoslanib, umumiy secret va joriy vaqt yordamida odatda olti raqamli kod yaratadi. Kod mobil tarmoqsiz ham hosil bo‘ladi. Ayrim ilovalar push notification orqali “tasdiqlash” so‘rovi yoki passkey saqlash imkonini ham beradi; bu mexanizmlar TOTP bilan bir xil emas.
TOTP ishlash prinsipi
Hisob sozlanganda server va authenticator bir xil tasodifiy secretga ega bo‘ladi. Secret odatda QR code ichidagi otpauth:// URI orqali qurilmaga o‘tkaziladi. TOTP vaqtni, masalan, 30 soniyalik intervallarga bo‘lib, interval counterini HMAC algoritmi bilan qayta ishlaydi. Natijaning bir qismi raqamli kodga aylantiriladi:
TOTP = Truncate(HMAC(secret, floor(unix_time / 30)))
Server kiritilgan kodni o‘z hisob-kitobi bilan solishtiradi. Qurilma soati ozgina farq qilishi mumkinligi uchun joriy interval bilan birga oldingi yoki keyingi interval qabul qilinadi. Juda keng vaqt oynasi kodning amal qilish davrini va brute-force imkonini oshiradi. Server NTP bilan, telefon esa operatsion tizim vaqt xizmati bilan sinxronlanadi.
Secretni ro‘yxatdan o‘tkazish
QR code oddiy rasm emas, hisob nomi, issuer va secretni o‘z ichiga oluvchi credential tashuvchidir. Uni ko‘rgan tomon ayni kodlarni hosil qila oladi. Setup sahifasi TLS bilan himoyalanadi, QR code analitikaga yoki screenshot jurnaliga yuborilmaydi. Server secretni qayta tekshirish uchun himoyalangan ko‘rinishda saqlaydi; oddiy parol xeshi kabi bir tomonlama saqlashning o‘zi TOTP hisoblashga yetmaydi.
Ro‘yxatdan o‘tkazish foydalanuvchi birinchi kodni muvaffaqiyatli kiritgandan keyin yakunlanadi. Aks holda noto‘g‘ri skanerlangan yoki saqlanmagan authenticator hisobga biriktirilishi mumkin. Yangi qurilma qo‘shish mavjud kuchli faktor yoki qayta autentifikatsiya bilan himoyalanadi.
Xavfsizlik xususiyatlari
TOTP SMSga qaraganda mobil tarmoq va SIM swapga bog‘liq emas. Shunga qaramay, kod phishingga chidamli emas: soxta sayt kodni foydalanuvchidan olib, amal muddati tugamasdan haqiqiy saytga uzatishi mumkin. Zararli dastur ekrandagi kodni o‘qishi yoki authenticator backupini egallashi mumkin. WebAuthn xavfsizlik kaliti domenni kriptografik bog‘lagani uchun phishingga kuchliroq qarshi turadi.
Kod qisqa bo‘lgani sababli server urinishlarni hisob va sessiya bo‘yicha cheklaydi. Bir intervaldagi muvaffaqiyatli kodni qayta qabul qilmaslik replayni kamaytiradi. Autentifikatsiya jurnali qaysi faktor turi ishlatilganini qayd etadi, lekin secret yoki to‘liq kodni saqlamaydi.
Backup va ko‘chirish
Authenticator ilovalari secretlarni faqat lokal saqlashi, shifrlangan backup qilishi yoki platforma hisobi orqali sinxronlashi mumkin. Sinxronlash qulay recovery beradi, lekin authenticator hisobining o‘zi yangi yuqori qiymatli himoya chegarasiga aylanadi. Tashkilot siyosati export qilinadigan va qurilmadan chiqmaydigan credentiallar orasidagi farqni hisobga oladi.
Telefon yo‘qolganda recovery code, zaxira authenticator yoki shaxsni tekshiruvchi tiklash jarayoni ishlatiladi. Recovery usuli asosiy MFA’dan ancha zaif bo‘lsa, hujumchi aynan shu yo‘lni tanlaydi. Faktor o‘chirilishi va yangi secret berilishi eski TOTP secretni serverda bekor qilishi kerak.
HOTP bilan munosabati
HOTP vaqt o‘rniga autentifikatsiya hodisalari counteridan foydalanadi. Qurilma kod yaratganda counter oldinga siljiydi, server esa muvaffaqiyatli tekshiruvdan so‘ng o‘z qiymatini yangilaydi. Kod ishlatilmay qolsa ikki tomon desinxronlashishi mumkin, shuning uchun cheklangan look-ahead window ishlatiladi. TOTPni “vaqtga asoslangan HOTP” deb tushunish mumkin, ammo uning counteri serverda saqlanadigan hodisa soni emas, joriy vaqt intervalidir.
Bog‘liq tushunchalar
TOTP, HOTP, QR code, HMAC, Multi-factor authentication, Security key, Recovery code