Tek kullanımlık parolalar nasıl çalışır
Tüm OTP şemaları, kullanıcının cihazı ile sunucu arasında bir kez kurulan ortak bir sırla başlar; bu genellikle bir doğrulayıcı uygulamaya QR kodu taratılarak yapılır. TOTP (zamana bağlı OTP, RFC 6238) bu sırrı geçerli zamanla birleştirir, karmasını alır ve sonucu her 30 saniyede bir değişen 6 haneli bir koda indirger. Daha eski, sayaç tabanlı varyant olan HOTP ise saat yerine her kullanımda artan bir sayaç kullanır.
Oturum açarken kullanıcı geçerli kodu girer; aynı sırra ve aynı saate sahip sunucu beklenen değeri hesaplayıp karşılaştırır. Hiçbir kodun cihaz ile sunucu arasında önceden taşınması gerekmez ve kodlar saniyeler içinde geçersizleştiği için yakalanan bir kodu tekrar kullanmak hızla anlamsızlaşır. SMS ve e-posta OTP'leri farklı çalışır: sunucu rastgele bir kod üretip ağ üzerinden iletir; bu da onları iletim kanalının güvenliğine bağımlı kılar.
OTP neden önemli
OTP, dünyada en yaygın kullanılan ikinci faktördür. Kimlik doğrulamayı yalnızca bildiğiniz bir şeyden, bildiğiniz artı sahip olduğunuz bir şeye dönüştürür; bu da en yaygın saldırıyı, yani başka ihlallerden çalınan parolalarla yapılan credential stuffing denemelerini boşa çıkarır. Elinde yalnızca parola olan saldırgan OTP adımında takılır.
Ancak tüm OTP kanalları eşit değildir. SMS kodları SIM kartı değiştirme ve dinleme saldırılarına açıktır; güvenlik önerilerinin giderek uygulama tabanlı TOTP'ye kaymasının nedeni budur. Hiçbir OTP türü de oltalamaya tam dirençli değildir: gerçek zamanlı bir vekil site, yeni yazılan kodu geçerlilik süresi içinde asıl servise aktarabilir. Bu kalan riski numara eşleştirmeli anlık bildirimler azaltır, oltalamaya dirençli geçiş anahtarları ise tamamen ortadan kaldırır. Yine de OTP, çıtayı yalnızca parolaya göre ciddi biçimde yükseltir ve pragmatik temel faktör olmayı sürdürür.
Uygulamada OTP
TOTP'yi devreye almak, MFA'daki en hızlı kazanımlardan biridir: doğrulayıcı uygulamalar ücretsizdir, çevrimdışı çalışır ve QR koduyla saniyeler içinde kaydolur. Kurulumun kalitesini operasyonel ayrıntılar belirler: kayıt akışının kendisini güvenceye alın, kaybolan cihazlar için karma olarak saklanan tek kullanımlık yedek kodlar sağlayın, doğrulama denemelerine hız sınırı koyun ve TOTP küçük sapmalara ancak tolerans gösterdiğinden sunucu saatlerini doğru tutun.
Olgun programlar TOTP'yi bir yelpazenin basamağı olarak görür: kolaylık için anlık bildirim onayına, en güçlü güvence için geçiş anahtarlarına geçilir; kodun ne zaman isteneceğine ise risk politikaları karar verir. Monosign, MFA seçenekleri arasında TOTP'yi anlık bildirim ve geçiş anahtarlarıyla birlikte sunar; VPN ve ağ girişlerinde de RADIUS üzerinden OTP kodu isteyebilir.