Д. Штрбац

TOTP2

Основни проблем са тренутном имплементацијом TOTP (Временски базиран једнократни шифарски кључ) је њена примарна фокусираност на аутентификацији само једне стране једначине: корисника према апликацији. Ово оставља значајну угроженост, посебно када се разматрају потенцијалне претње које произилазе из фишинга и напада "човек посредник". Оно што овде недостаје је признавање једнако битног аспекта аутентификације: провера легитимности услуге или апликације кориснику.

TOTP2 (TOTP "дуо") уводи два једнократна шифарска кључа. Један кључ је намењен да потврди аутентичност апликације кориснику, док је други кључ дизајниран да провери идентитет корисника апликацији. Овај приступ нуди комплетнију и робустану стратегију безбедности, захтевајући од обе стране укључене у процесу аутентификације да установе своју аутентичност.

IETF RFC радна верзија се налази на https://datatracker.ietf.org/doc/draft-strbac-totp2/