Face a insegurança digital que se vive, há soluções que simplesmente podem fazer toda a diferença. Já ouviu falar em TOTP (Time-based One-Time Password), tecnologia simples mas extremamente eficaz que adiciona uma camada extra de proteção aos sistemas.
O TOTP é um tipo de código temporário, gerado automaticamente e válido apenas durante um curto período de tempo (normalmente 30 segundos). É amplamente utilizado como segundo fator de autenticação (2FA), tornando muito mais difícil o acesso indevido às suas contas.
Este método baseia-se num conceito simples: além da sua password, precisa também de um código único que muda constantemente.
Como funciona na prática o TOTP?
Quando ativa o TOTP numa plataforma (como email, redes sociais ou serviços bancários), acontece o seguinte:
- A plataforma gera uma chave secreta única para a sua conta
- Essa chave é partilhada com uma app de autenticação (ex: Google Authenticator, Microsoft Authenticator ou Authy)
- A app passa a gerar códigos de 6 dígitos que mudam a cada 30 segundos
- Ao fazer login, além da password, precisa de introduzir esse código
Mesmo que alguém descubra a sua password, não conseguirá entrar sem acesso ao seu dispositivo.
O TOTP é uma solução simples, eficaz e cada vez mais essencial para proteger as suas contas online. Com apenas alguns segundos extra no login, ganha uma camada de segurança que pode evitar dores de cabeça… ou perdas bem maiores.
Também há TOTP em hardware
O TOTP hardware funciona exatamente com o mesmo princípio dos códigos temporários, mas em vez de usar uma app no telemóvel, utiliza um dispositivo físico dedicado para gerar os códigos.
Estes dispositivos são frequentemente designados de “tokens” e são pequenos equipamentos que mostram, num ecrã, um código que muda automaticamente a cada poucos segundos. De referir que tudo acontece offline, sem depender de apps, internet ou smartphones. Há, no entant, uma questão que se coloca: Como é que o token sabe o código sem internet?
O segredo está em dois elementos que já foram definidos antes:
- Uma chave secreta (secret key)
- O tempo atual
Quando configura o TOTP (seja numa app ou num dispositivo físico), o serviço partilha uma chave secreta única, normalmente através de um QR Code. Essa chave fica guardada no dispositivo. A partir daí, tanto o servidor como o dispositivo fazem exatamente o mesmo cálculo, de forma independente:
- Usam a chave secreta
- Usam o tempo atual (ex: intervalos de 30 segundos)
- Aplicam um algoritmo matemático (baseado em HMAC-SHA1, por exemplo)
Resultado: ambos geram o mesmo código ao mesmo tempo, sem precisar de comunicar entre si.