Senha descartável
A senha descartável ou senha de uso único (em inglês: One-time password, abreviado OTP) é uma senha que é válida somente para uma sessão de login, transação, ou intervalo de tempo, em um sistema de computadores ou outros dispositivos digitais.[1]
Padrões
Existe mais de um padrão de OTP, alguns descritos nos documentos técnicos RFC. A RFC-4226 define um OTP baseado no autenticador de mensagem chamado HMAC (HOTP), enquanto que a RFC-6238 especializa ela para descrever um OTP baseado em tempo (TOTP).[2] Esses padrões são usados por serviços como Google Authenticator.[3]
HOTP e TOTP
Ao conectar uma conta de um serviço a um gerador de OTP, o provedor do serviço gera uma chave, normalmente encodificada como um QR code, compartilhada pelo usuário com o gerador de OTP. Quando o usuário abre o gerador de OTP, ele codifica uma mensagem com essa chave usando o autenticador HMAC. A mensagem pode ser:[4]
- O número de períodos de X segundos (padrão 30) desde a Unix epoch (TOTP); ou
- Um contador que é incrementado a cada código gerado (HOTP) e que precisa ser sincronizado com o provedor do serviço.
Uma porção de ao menos 6 dígitos da mensagem codificada é extraída e exibida ao usuário pelo gerador de OTP. O provedor do serviço usa exatamente o mesmo algoritmo para calcular esse valor e valida contra o enviado pelo usuário.[5]
