Hasło jednorazowe oparte na czasie (TOTP), to jednorazowy kod dostępu zwykle używany do uwierzytelniania użytkowników. Użytkownikowi przydzielany jest generator dostarczany jako brelok sprzętowy lub token programowy. Generator implementuje algorytm, który oblicza jednorazowy kod dostępu przy użyciu klucza tajnego współdzielonego z serwerem uwierzytelniającym i aktualnego czasu – stąd nazwa OTP – oparte na czasie. Hasło jest wyświetlane użytkownikowi i jest ważne przez ograniczony czas. Po wygaśnięciu hasło traci ważność. Użytkownik wprowadza ważny kod dostępu do formularza logowania, zazwyczaj wraz ze swoją nazwą użytkownika i zwykłym hasłem.
Generatory TOTP
Generator/tokeny są powszechnie używane jako drugi czynnik uwierzytelniania. Użytkownikom przydzielany jest token sprzętowy do generowania lub aplikacji, która jest pobierana i powiązana z urządzeniem mobilnym lub komputerem.
TOTP został wynaleziony przez RSA Security i był sprzedawany wyłącznie jako patent do czasu wygaśnięcia patentu. Obecnie rozwiązania uwierzytelniania zostały ustandaryzowane przez OATH i sprzedawane przez wielu dostawców uwierzytelniania.
Alternatywa
Popularną alternatywą jest OTP oparte na zdarzeniach, określane również jako jednorazowe hasło oparte na HMAC (HOTP). HOTP implementuje algorytm obliczający jednorazowe hasło przy użyciu klucza tajnego, współdzielonego z serwerem uwierzytelniającym i licznika. Licznik jest zwiększany za każdym razem, gdy generowany jest OTP (zamiast bieżącego czasu w TOTP ). TOTP i HOTP są uważane za równie bezpieczne, chociaż niektórzy twierdzą, że TOTP oferuje nieznacznie lepsze zabezpieczenia, ponieważ hasła wygasają po określonym czasie, co wymaga od atakującego użycia skradzionych haseł w czasie zbliżonym do rzeczywistego.