Назад к списку статей

Настройка TOTP: Усиливаем Безопасность Аккаунтов с Python

#гайды

Двухфакторная аутентификация (2FA) — это уже стандарт для защиты важных аккаунтов. Один из самых популярных и удобных методов 2FA — это TOTP (Time-based One-Time Password). Речь о тех самых 6-значных кодах из приложения на телефоне, которые обновляются каждые 30 секунд. Давайте разберемся, как это работает и как реализовать базовую проверку TOTP с помощью Python.

Как работает TOTP? (Краткий ликбез)

В основе TOTP лежат две простые идеи:

  1. Общий секретный ключ (Shared Secret): Это уникальная строка данных, известная только вам (точнее, вашему приложению-аутентификатору) и серверу (сервису, который вы защищаете). Он генерируется один раз при настройке 2FA.
  2. Текущее время: Время используется как постоянно меняющийся компонент.

Процесс генерации кода:

  • Время делится на короткие интервалы (стандартно — 30 секунд).
  • Для каждого интервала берется секретный ключ и текущее значение времени (интервала).
  • Эти два компонента пропускаются через криптографическую хеш-функцию (обычно HMAC-SHA1).
  • Результат преобразуется в короткий цифровой код (чаще всего 6 цифр).
  • Поскольку и ваше приложение, и сервер знают один и тот же секретный ключ и видят одно и то же время, они могут независимо друг от друга сгенерировать идентичный код в рамках одного временного интервала.
  • Когда вы вводите код, сервер сравнивает его со своим сгенерированным кодом. Если они совпадают (в пределах допустимого временного окна), проверка пройдена.

Почему это надежно? Даже если ваш пароль скомпрометируют, злоумышленнику потребуется доступ к вашему второму фактору — постоянно меняющимся кодам. Перехват одного кода малоэффективен, так как он действителен лишь короткое время.

Формат URI для QR-кодов

Чтобы упростить добавление аккаунта в аутентификатор, используется стандартный формат URI, который обычно "зашивают" в QR-код:

otpauth://totp/[ИмяСервиса]:[ИмяАккаунта]?secret=[СекретныйКлючBase32]&issuer=[ИмяСервиса]
  • otpauth://totp/ — Указывает приложению, что это настройка TOTP.
  • [ИмяСервиса]:[ИмяАккаунта] — Метка, которая отобразится в приложении (например, MyWebApp:user@example.com).
    • [ИмяСервиса] (issuer) — Название вашего сервиса или приложения.
    • [ИмяАккаунта] — Логин пользователя, email и т.п.
  • ?secret=[СекретныйКлючBase32]Самая важная часть: секретный ключ в кодировке Base32. Его нужно хранить в безопасности.
  • &issuer=[ИмяСервиса] — Дублирует имя сервиса для совместимости.

Существуют и другие параметры, но эти — основные.

Практика: Настраиваем TOTP на Python

Давайте напишем скрипт, который будет:

  1. Генерировать и сохранять секретный ключ для повторного использования.
  2. Формировать URI и QR-код для добавления в приложение-аутентификатор.
  3. Проверять код, введенный пользователем.

Шаг 1: Установка библиотек

Понадобятся две библиотеки: pyotp для логики TOTP и qrcode для генерации QR-кодов.

Устанавливаем через pip:

pip install pyotp qrcode

Шаг 2: Пишем код

Импортируем библиотеки:

import pyotp
import qrcode
import os

Теперь создадим функцию для работы с секретным ключом:

# Путь к файлу для хранения ключа
SECRET_FILE = "secret.txt"

# Функция для получения или создания секретного ключа
def get_or_create_secret():
    try:
        if os.path.exists(SECRET_FILE):
            # Читаем существующий ключ из файла
            with open(SECRET_FILE, "r") as f:
                return f.read().strip()
        else:
            # Генерируем новый ключ и сохраняем его
            secret = pyotp.random_base32()  # Случайный ключ в формате Base32
            with open(SECRET_FILE, "w") as f:
                f.write(secret)
            return secret
    except Exception as e:
        print(f"Ошибка при работе с файлом: {e}")
        return None

# Получаем или создаём ключ
secret = get_or_create_secret()
if not secret:
    print("Не удалось получить ключ. Попробуйте снова.")
    exit()
  • Ключ сохраняется в файл secret.txt, чтобы не генерировать новый при каждом запуске (если бы мы так делали, то каждый раз создавали новый аккаунт).

Создаём объект TOTP и QR-код:

# Создаём объект TOTP с нашим ключом
totp = pyotp.TOTP(secret)

# Генерируем URI для QR-кода
totp_uri = totp.provisioning_uri(name="Ваш_Ник", issuer_name="Моё_Приложение")

# Создаём и выводим QR-код в консоли
qr = qrcode.QRCode()
qr.add_data(totp_uri)
qr.print_ascii()

print("Отсканируйте QR-код с помощью приложения (например, Google Authenticator).")
  • provisioning_uri создаёт ссылку с вашим именем и названием приложения.
  • QR-код выводится в консоли в текстовом виде. Его можно отсканировать камерой телефона.

Получаем ввод пользователя и проверяем корректность кода:

# Запрашиваем код у пользователя
print("Введите код из приложения:")
user_input = input("> ")

# Проверяем введённый код
if totp.verify(user_input):
    print("Код верный! Доступ разрешён.")
else:
    print("Код неверный. Попробуйте ещё раз.")
Полный код 
import pyotp
import qrcode
import os

# Путь к файлу для хранения ключа
SECRET_FILE = "secret.txt"

# Функция для получения или создания секретного ключа
def get_or_create_secret():
    try:
        if os.path.exists(SECRET_FILE):
            with open(SECRET_FILE, "r") as f:
                return f.read().strip()
        else:
            secret = pyotp.random_base32()
            with open(SECRET_FILE, "w") as f:
                f.write(secret)
            return secret
    except Exception as e:
        print(f"Ошибка при работе с файлом: {e}")
        return None

# Получаем или создаём ключ
secret = get_or_create_secret()
if not secret:
    print("Не удалось получить ключ. Попробуйте снова.")
    exit()

# Создаём объект TOTP
totp = pyotp.TOTP(secret)

# Генерируем URI для QR-кода
totp_uri = totp.provisioning_uri(name="Ваш_Ник", issuer_name="Моё_Приложение")

# Создаём и выводим QR-код
qr = qrcode.QRCode()
qr.add_data(totp_uri)
qr.print_ascii()

print("Отсканируйте QR-код с помощью приложения (например, Google Authenticator).")

# Проверяем код
print("Введите код из приложения:")
user_input = input("> ")
if totp.verify(user_input):
    print("Код верный! Доступ разрешён.")
else:
    print("Код неверный. Попробуйте ещё раз.")

Важные моменты и безопасность

  • Безопасность секретного ключа: Файл с секретным ключом или сам ключ — это критически важная информация. Храните его надежно! Не передавайте по открытым каналам, не добавляйте в системы контроля версий (Git). В продакшен-системах ключи хранят в защищенных базах данных или специализированных сервисах управления секретами.
  • Резервные коды: Реальные сервисы при включении 2FA обычно предлагают сохранить набор одноразовых резервных кодов на случай потери доступа к аутентификатору. Это важная практика, хотя наш простой скрипт их не генерирует.
  • Синхронизация времени: Корректная работа TOTP зависит от точности часов на устройстве пользователя и на сервере. Значительное расхождение (больше минуты-двух) приведет к несовпадению кодов. Обычно это не проблема благодаря автоматической синхронизации времени (NTP).
  • Защита от перебора: В реальном приложении необходимо ограничивать количество неудачных попыток ввода кода (например, временная блокировка), чтобы защититься от брутфорса.

Заключение

TOTP — это эффективный и широко распространенный метод усиления безопасности. С помощью Python и библиотеки pyotp вы можете относительно легко интегрировать поддержку TOTP в свои проекты или просто лучше понять принципы работы этой технологии. Помните о важности безопасного обращения с секретными ключами и не забывайте про удобство и безопасность пользователей (например, предлагая резервные коды).