Do not send e-mail to me!

Autenticação TOTP

O Time-based One-Time Password algorithm (TOTP) é um algoritmo capaz de gerar senhas pseudoaleatórias através de chave privada compartilhada. O algoritmo é formalizado pela RFC 6238 para uso em sistemas de informação com autenticação de fator duplo.

 

O TOTP é uma combinação da chave privada com a hora atual do dispositivo que roda o algoritmo. Portanto, dois dispositivos calculam exatamente o mesmo valor se tiverem com seus relógios sincronizados.

 

Meios de transmissão da chave privada

 

A chave privada pode ser gerada por diversos meios como, por exemplo, cadeia de texto em base 32 ou QRcode. Uma vez criada uma nova chave, esta pode ser enviada por e-mail ou qualquer outro meio de comunicação.

 

No caso da chave privada ser transmitida por QRcode, é possível formatar o conteúdo para facilitar o cadastro em dispositivos móveis. O formato mais comum de TOTP em QRcode é o formato do Google Authenticator:

otpauth://totp/[KEY NAME]?secret=[KEY SECRET, BASE 32]

Várias informações podem ser passadas no QRcode, para facilitar a identificação da chave no dispositivo.

QR code enviado no e-mail do postmaster

 

No primeiro acesso ao painel de controle, o sistema irá gerar um QR code que será enviado no e-mail do postmaster:

 

 

Exemplo do e-mail enviado ao postmaster, contendo o QR code para cadastramento no aplicativo Google Autenticador.

Passo a Passo instalação do aplicativo no celular:

TOTP_02

1- Instale o aplicativo Google Autenticador

O QRcode, no formato Google, pode ser lido pelo aplicativo de celular Google Authenticator. O Google Authenticator pode ser obtido no Google Play ou na Apple Store:

https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

https://itunes.apple.com/br/app/google-authenticator/id388497605?mt=8

2- Clique no botão +

 

 

TOTP_03

3- Clique na opção: Ler um código de barras

 

TOTP_04

4- Leia o QR Code recebido no e-mail do postmaster.

 

TOTP_05

5- Finalizando

 

O aplicativo irá usar a câmera do celular. Enquadre o quadro do visor na imagem do QRcode até ouvir a som de conclusão.

 

Após ouvir o som, sua chave ficará protegida dentro do aplicativo. Um novo número de seis dígitos será gerado a cada minuto. Este número será a senha usada para autenticar o acesso ao serviço.

TOTP_06

Autenticação do painel de controle SPFBL

Para ter acesso ao painel de controle do SPFBL, entre na URL passada pelo administrador do serviço. Você verá uma tela com esta aparência.

 

Verifique o valor atual da chave gerada no aplpicativo Google Autenticador, digite-a no campo indicado.

Tela do Painel de Controle

 

Essa é a tela que você deverá ver após autenticação. O controle de acesso via TOTP garante a segurança das informações, pois somente o detentor da chave consegue se autenticar. Elimina-se assim a vulnerabilidade de roubo de senhas dos sistemas tradicionais.

 

Leandro Carlos Rodrigues

Bacharel em Ciência da Computação pela FEI