O que é um autenticador TOTP?

TOTPs explicadas

Uma senha de uso único baseada em tempo (TOTP) é uma forma de autenticação de dois fatores (2FA) que gera um código temporário como segundo fator, renovado em intervalos regulares. Esse recurso está disponível em diferentes formatos: os tokens de hardware — como YubiKeys ou RSA SecurID — que são dispositivos físicos compactos que exibem o código diretamente; ou os de software que correspondem a aplicativos como Google Authenticator ou Microsoft Authenticator, instalados no celular. Por ser renovado periodicamente, o código dificulta ataques de repetição e o acesso não autorizado às contas.

TOTPs vs. alternativas

  • OTPs baseadas em HMAC (HOTPs): Uma HOTP usa um contador onde o fator móvel aumenta cada vez que uma OTP é solicitada. Isso torna a experiência mais simples, já que o código permanece válido até a próxima verificação, mas também as deixa vulneráveis a ataques de força bruta.

  • 2FA por SMS: Os códigos enviados via mensagem de texto têm validade mais longa que os TOTPs, o que os torna suscetíveis a interceptações, como ataques de intermediário (man-in-the-middle), mesmo quando gerados por fontes confiáveis.

  • 2FA por e-mail: Esta é geralmente mais fácil de usar, pois não exige uma aplicação de autenticação adicional, já que a maioria das pessoas já tem acesso ao seu e-mail. No entanto, os e-mails são mais fáceis de comprometer e suscetíveis a phishing.

Por que usar TOTPs?

As TOTPs acrescentam uma camada extra de proteção além do nome de usuário e senha. O código é gerado diretamente no dispositivo, sem necessidade de conexão à internet, o que elimina atrasos e garante praticidade. Além disso, a maioria as aplicações compatíveis é gratuita e oferece suporte a uma ampla variedade de serviços.

Como as TOTPs funcionam?

A geração do código envolve duas entradas: uma chave secreta estática (seed), compartilhada entre o token e o servidor, e um fator dinâmico baseado no horário Unix, atualizado a cada solicitação. Durante o cadastro, o servidor cria a seed, que fica armazenada tanto no banco de dados quanto no dispositivo do usuário.

O processo de autenticação ocorre em quatro etapas:

  1. O usuário insere o primeiro fator — nome de usuário e senha.

  2. O cliente gera o código TOTP a partir da seed e do fator temporal, e o envia ao servidor.

  3. O servidor gera independentemente um código com os mesmos parâmetros.

  4. Os dois códigos são comparados; se coincidirem, o acesso é concedido.

Exemplos de autenticadores TOTP

  • Software: Aplicativos como Google Authenticator, Authy e Microsoft Authenticator exibem o código no smartphone (iOS ou Android) durante o login.

  • Hardware: Dispositivos como YubiKey e Nitrokey conectam-se ao computador por USB, enquanto o RSA SecurID exibe o código diretamente no token físico.

Benefícios das TOTPs

  • Segurança reforçada: Além da senha, o invasor precisaria ter acesso físico ao dispositivo secundário do usuário.

  • Funcionamento offline: A geração do código depende apenas do horário atual e da chave compartilhada, sem necessidade de internet.

  • Resistência a repetição: Como o código se renova a cada 30 segundos, ele perde a validade antes que possa ser reutilizado.

Por que usar TOTP com o ManageEngine ADSelfService Plus?

O ADSelfService Plus é uma solução de segurança de identidade com MFA adaptativa que suporta diversos métodos de autenticação, incluindo TOTP. Com ele, é possível fazer login em Windows, macOS e Linux; acessar aplicações corporativas via single sign-on (SSO); e realizar redefinições de senha e desbloqueios de conta de forma autônoma.

Perguntas frequentes

Como funciona a autenticação TOTP? 

Ao tentar fazer login, o usuário gera um código temporário por meio de um aplicativo ou token físico. Esse código é enviado ao servidor, que gera o seu próprio simultaneamente. Se os dois coincidirem, o acesso é liberado.

Como obtenho um código TOTP? 

Primeiro, é necessário registrar o autenticador e obter a seed. A partir daí, a cada novo login, o aplicativo ou token gera automaticamente um código com validade curta, exibido na tela para ser utilizado.

TOTP é o mesmo que 2FA? 

Não exatamente: TOTP é uma forma de 2FA — especificamente aquela que usa um código temporário como segundo fator.

TOTP é melhor do que OTP? 

Sim. Além de ser exclusivo para cada sessão e expirar rapidamente, o código TOTP funciona offline — ao contrário dos enviados por SMS, que podem ser interceptados durante a transmissão.

Artigo traduzido. Conteúdo original escrito por Andrew.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.