TOTP (टाइम-बेस्ड वन-टाइम पासवर्ड) क्या है?

समय-आधारित वन-टाइम पासवर्ड (TOTP) एक सुरक्षित पासवर्ड है। प्रमाणीकरण वह विधि जो उपयोगकर्ता की पहचान सत्यापित करने के लिए अस्थायी, समय-संवेदनशील कोड उत्पन्न करती है।

TOTP का क्या अर्थ है?

समय-आधारित वन-टाइम पासवर्ड (TOTP) एक प्रकार का गतिशील पासकोड है, जिसका उपयोग प्रमाणीकरण प्रणालियों में सुरक्षा बढ़ाने के लिए किया जाता है, इसके लिए एक अस्थायी, अद्वितीय कोड तैयार किया जाता है, जो एक छोटी, पूर्वनिर्धारित अवधि के बाद समाप्त हो जाता है।

HMAC-आधारित वन-टाइम पासवर्ड (HOTP) एल्गोरिथ्म पर आधारित, TOTP एक साझा गुप्त कुंजी को वर्तमान समय के साथ जोड़ता है, आमतौर पर इसका उपयोग करके यूनिक्स समय अंतराल को संदर्भ के रूप में इस्तेमाल किया जाता है। इसका परिणाम एक वन-टाइम पासवर्ड होता है जो उपयोगकर्ता-विशिष्ट और समय-संवेदनशील दोनों होता है। चूंकि कोड नियमित अंतराल पर बदलता है, आमतौर पर हर 30 या 60 सेकंड में, यह रीप्ले हमलों के जोखिम को काफी हद तक कम कर देता है, क्योंकि समाप्त हो चुके कोड का दोबारा इस्तेमाल नहीं किया जा सकता है।

TOTPs का उपयोग सामान्यतः निम्नलिखित में किया जाता है: दो-कारक प्रमाणीकरण (2FA) सिस्टम, जहां वे पारंपरिक लॉगिन क्रेडेंशियल के साथ-साथ सत्यापन की एक अतिरिक्त परत के रूप में कार्य करते हैं, जिससे अनधिकृत पहुंच के खिलाफ उच्च स्तर की सुरक्षा सुनिश्चित होती है।

2FA और TOTP में क्या अंतर है?

दो-कारक प्रमाणीकरण (2FA) एक सुरक्षा विधि है जिसके लिए उपयोगकर्ताओं को दो अलग-अलग कारकों का उपयोग करके अपनी पहचान सत्यापित करने की आवश्यकता होती है, जैसे कि कुछ ऐसा जो वे जानते हैं (पासवर्ड) और कुछ ऐसा जो उनके पास है (सुरक्षा टोकन या कोड)। TOTP, या टाइम-बेस्ड वन-टाइम पासवर्ड, एक विशिष्ट तकनीक है जिसका उपयोग अक्सर 2FA सिस्टम में दूसरे कारक के रूप में किया जाता है।

जबकि 2FA समग्र सुरक्षा दृष्टिकोण को संदर्भित करता है, TOTP समय-संवेदनशील, अद्वितीय कोड उत्पन्न करने के लिए एक तंत्र है जो 2FA प्रक्रिया के एक भाग के रूप में कार्य करता है। अनिवार्य रूप से, 2FA बहु-स्तरीय प्रमाणीकरण की व्यापक अवधारणा है, और TOTP इसे लागू करने के लिए उपयोग किए जाने वाले उपकरणों में से एक है।

TOTP कैसे काम करता है?

TOTP एक साझा नेटवर्क के आधार पर एक अद्वितीय, समय-संवेदनशील कोड उत्पन्न करके काम करता है। गुप्त कुंजी और वर्तमान समय। TOTP सेट अप करते समय, सेवा प्रदाता और उपयोगकर्ता एक साझा गुप्त कुंजी का आदान-प्रदान करते हैं, जिसे आम तौर पर QR कोड या अल्फ़ान्यूमेरिक स्ट्रिंग में एनकोड किया जाता है। यह कुंजी उपयोगकर्ता के TOTP ऐप, जैसे कि Google प्रमाणक या Authy में सुरक्षित रूप से संग्रहीत की जाती है।

जब TOTP कोड की आवश्यकता होती है, तो ऐप साझा रहस्य को वर्तमान टाइमस्टैम्प के साथ जोड़ता है, आमतौर पर अंतराल में विभाजित UNIX समय का उपयोग करता है (उदाहरण के लिए, 30 सेकंड)। एक अद्वितीय संख्यात्मक कोड उत्पन्न करने के लिए इस संयोजन पर एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन (HMAC) लागू किया जाता है। सेवा प्रदाता स्वतंत्र रूप से उसी साझा रहस्य और समय अंतराल का उपयोग करके अपेक्षित TOTP की गणना करता है। प्रमाणीकरण के लिए, उपयोगकर्ता TOTP कोड दर्ज करता है, और सेवा इसे अपेक्षित मूल्य से तुलना करके मान्य करती है। चूँकि कोड एक विशिष्ट समय अंतराल से बंधा होता है, इसलिए यह एक छोटी अवधि के बाद स्वचालित रूप से समाप्त हो जाता है, जिससे बढ़ी हुई सुरक्षा सुनिश्चित होती है।

TOTP का उदाहरण क्या है?

TOTP का एक सामान्य उदाहरण ऑनलाइन खातों के लिए दो-कारक प्रमाणीकरण (2FA) में इसका उपयोग है। मान लीजिए कि कोई उपयोगकर्ता अपने ईमेल खाते में लॉग इन करना चाहता है। अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करने के बाद, सिस्टम उन्हें छह अंकों का TOTP कोड मांगता है। उपयोगकर्ता Google प्रमाणक जैसे TOTP ऐप को खोलता है, जो हर 30 सेकंड में बदलने वाला कोड प्रदर्शित करता है।

उदाहरण के लिए, ऐप कोड दिखा सकता है 438917उपयोगकर्ता इस कोड को लॉगिन प्रॉम्प्ट में दर्ज करता है, और सिस्टम साझा रहस्य और वर्तमान समय का उपयोग करके कोड के अपने संस्करण की गणना करके इसे सत्यापित करता है। यदि कोड मेल खाते हैं, तो उपयोगकर्ता को पहुँच प्रदान की जाती है। यह प्रक्रिया सुनिश्चित करती है कि भले ही पासवर्ड से छेड़छाड़ की गई हो, कोई हमलावर अद्वितीय TOTP कोड के बिना लॉग इन नहीं कर सकता है, जो केवल सीमित समय के लिए वैध है।

मैं TOTP कैसे प्राप्त कर सकता हूँ?

TOTP प्राप्त करने के लिए, आपको TOTP-संगत ऐप और प्रमाणीकरण के लिए इसका समर्थन करने वाली सेवा की आवश्यकता होती है। यहां बताया गया है कि आप इसे कैसे सेट कर सकते हैं:

1. सेवा पर TOTP सक्षम करें. उस सेवा पर अपने खाते में लॉग इन करें जिसे आप सुरक्षित करना चाहते हैं (जैसे, ईमेल, cloud भंडारण, बैंकिंग)। सुरक्षा सेटिंग्स पर जाएँ और TOTP ऐप का उपयोग करके दो-कारक प्रमाणीकरण (2FA) सक्षम करें।
2. गुप्त कुंजी को स्कैन करें या दर्ज करें. यह सेवा एक QR कोड या मैन्युअल कुंजी प्रदान करेगी। QR कोड को स्कैन करने या मैन्युअल रूप से कुंजी दर्ज करने के लिए अपने TOTP ऐप (जैसे Google प्रमाणक, Authy, या Microsoft प्रमाणक) का उपयोग करें।
3. TOTP कोड उत्पन्न करें. एक बार सेट अप हो जाने के बाद, ऐप समय-संवेदनशील कोड जेनरेट करेगा जो हर 30 या 60 सेकंड में रिफ्रेश हो जाता है। ये कोड आपके द्वारा रजिस्टर की गई सेवा से जुड़े होते हैं और लॉगिन के दौरान दूसरे कारक के रूप में उपयोग किए जाते हैं।
4. Backup चाबी। अधिकांश सेवाएं प्रदान करती हैं backup यदि आप अपने डिवाइस तक पहुँच खो देते हैं तो गुप्त कुंजी के लिए विकल्प। इसे सहेजें backup भविष्य में उपयोग के लिए सुरक्षित रखें।

टीओटीपी के क्या लाभ हैं?

TOTP कई प्रमुख लाभ प्रदान करता है जो प्रमाणीकरण प्रणालियों में सुरक्षा और उपयोगिता को बढ़ाता है। इस तकनीक के लाभ इस प्रकार हैं:

• सुरक्षा बढ़ाना। TOTP पासवर्ड के अलावा सुरक्षा की एक दूसरी परत भी जोड़ता है, जिससे अनधिकृत पहुंच का जोखिम काफी हद तक कम हो जाता है, भले ही पासवर्ड लीक हो गया हो।
• समय-संवेदनशील कोड. TOTP कोड की वैधता अवधि कम होने के कारण वे शीघ्र समाप्त हो जाते हैं, जिससे रिप्ले अटैक या इंटरसेप्शन जैसे जोखिम कम हो जाते हैं।
• सुविधा एवं पहुंच. TOTP को व्यापक समर्थन प्राप्त है, तथा कोड बनाने के लिए कई निःशुल्क और उपयोगकर्ता-अनुकूल ऐप्स उपलब्ध हैं, जिससे विभिन्न सेवाओं में इसका उपयोग आसान हो जाता है।
• ऑफ़लाइन कार्यक्षमता. TOTP को कोड जनरेट करने के लिए इंटरनेट कनेक्शन की आवश्यकता नहीं होती, जिससे यह उन परिस्थितियों में विश्वसनीय हो जाता है जहां कनेक्टिविटी उपलब्ध नहीं होती।
• खुले मानक. खुले मानकों के आधार पर, TOTP कई प्लेटफार्मों और सेवाओं में संगतता सुनिश्चित करता है, जिससे विक्रेता बंदी और प्रदान flexयोग्यता

TOTP के नुकसान क्या हैं?

यद्यपि TOTP सुरक्षा को बढ़ाता है, फिर भी इसके कुछ नुकसान भी हैं:

• साझा रहस्य पर निर्भरता. TOTP उपयोगकर्ता के डिवाइस पर संग्रहीत साझा गुप्त कुंजी पर निर्भर करता है, जो खो सकती है, चोरी हो सकती है, या उससे छेड़छाड़ की जा सकती है।
• समय समन्वयन संबंधी समस्याएं. यदि उपयोगकर्ता के डिवाइस या सेवा प्रदाता के डिवाइस पर सिस्टम समय server सिंक्रनाइज़ नहीं है, तो प्रमाणीकरण विफलता हो सकती है.
• कुछ उपयोगकर्ताओं के लिए जटिल सेटअप. कम तकनीक-प्रेमी उपयोगकर्ताओं के लिए सेटअप प्रक्रिया चुनौतीपूर्ण हो सकती है, जिससे संभावित रूप से त्रुटियां या अनुचित परिणाम हो सकते हैं backup कार्य करती है।
• पुनर्प्राप्ति चुनौतियां. बिना एक backup गुप्त कुंजी के लीक होने के बाद, यदि उपयोगकर्ता अपने TOTP ऐप तक पहुंच खो देता है, तो खातों तक पहुंच पुनः प्राप्त करना कठिन हो सकता है।
• डिवाइस निर्भरता. TOTP एक भौतिक डिवाइस, जैसे कि स्मार्टफोन, पर निर्भर करता है, जिससे महत्वपूर्ण स्थितियों के दौरान क्षति, चोरी या अनुपलब्धता जैसे जोखिम उत्पन्न होते हैं।

क्या TOTP ऑनलाइन काम करता है?

हां, TOTP ऑनलाइन सेवाओं तक उपयोगकर्ता की पहुंच को सत्यापित करने के संदर्भ में ऑनलाइन काम करता है, लेकिन TOTP जनरेशन स्वयं ऑफ़लाइन संचालित होता है। TOTP कोड आपके डिवाइस पर (Google प्रमाणक जैसे ऐप के माध्यम से) एक साझा गुप्त कुंजी और वर्तमान समय का उपयोग करके, इंटरनेट कनेक्शन की आवश्यकता के बिना जनरेट किया जाता है। जब आप प्रमाणीकरण के लिए किसी ऑनलाइन सेवा में TOTP कोड इनपुट करते हैं, तो सेवा उसी गुप्त कुंजी और समय के आधार पर अपेक्षित कोड की स्वतंत्र रूप से गणना करके इसे सत्यापित करती है। इसका मतलब है कि TOTP जनरेट करने की प्रक्रिया ऑफ़लाइन है, लेकिन इसका सत्यापन आमतौर पर सेवा के साथ ऑनलाइन बातचीत के दौरान होता है।

TOTP कितना सुरक्षित है?

TOTP को सही तरीके से लागू किए जाने पर प्रमाणीकरण का एक अत्यधिक सुरक्षित तरीका माना जाता है, लेकिन इसकी सुरक्षा इस बात पर निर्भर करती है कि साझा की गई गुप्त कुंजी और उपयोगकर्ता का डिवाइस कितनी अच्छी तरह से सुरक्षित है। TOTP द्वारा उत्पन्न अद्वितीय, समय-संवेदनशील कोड क्रिप्टोग्राफ़िक पर उनकी निर्भरता के कारण अनुमान लगाना कठिन है एल्गोरिदम और छोटी वैधता अवधि, जो इसे रीप्ले हमलों के लिए अत्यधिक प्रतिरोधी बनाती है और फ़िशिंग प्रयास किए गए।

हालाँकि, यदि साझा की गई गुप्त कुंजी उजागर हो जाए, तो इसकी सुरक्षा से समझौता हो सकता है, जैसे कि डिवाइस चोरी, मैलवेयर या अपर्याप्त सुरक्षा के माध्यम से। backup प्रथाओं। इसके अतिरिक्त, यदि TOTPs उत्पन्न करने के लिए उपयोग किया जाने वाला उपकरण समझौता किया जाता है, तो हमलावर संभावित रूप से कोड तक पहुंच सकता है। सुरक्षा बनाए रखने के लिए, उपयोगकर्ताओं को साझा किए गए रहस्य को सुरक्षित रूप से संग्रहीत करना चाहिए, अपने उपकरणों पर मजबूत सुरक्षा प्रथाओं का उपयोग करना चाहिए, और सक्षम करना चाहिए backupखाता पुनर्प्राप्ति के लिए TOTP का उपयोग किया जाता है। मजबूत प्राथमिक पासवर्ड के साथ संयुक्त होने पर, TOTP अनधिकृत पहुँच के विरुद्ध मज़बूत सुरक्षा प्रदान करता है।