Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Глоссарий

Что такое одноразовый пароль (OTP)? TOTP против HOTP против SMS и его пределы

Одноразовый пароль (OTP) — разовый код, действующий лишь один раз и недолго. Отличия TOTP, HOTP и SMS, чем он силён против утёкших паролей и его предел — фишинг AiTM всё же способен его обойти. Только защита, без шагов атаки.

Опубликовано 2026-07-02 Обновлено 2026-07-02 3 мин чтения

Разовый и одноразовый — вот что такое одноразовый пароль (OTP). Разберём его виды и предел, который часто упускают: фишинг всё же способен его обойти (без шагов атаки).

Виды: TOTP / HOTP / SMS-OTP

Их всех валят в кучу как «разовые коды», но по способу генерации они делятся на три вида.

TOTP (на основе времени)

Приложение вычисляет его из общего секрета + текущего времени. Меняется примерно каждые 30 с. Работает офлайн.

HOTP (счётчик)

Продвигается по счётчику, а не по времени. Каждое нажатие даёт следующий код. Используется в аппаратных токенах.

SMS-OTP

Отправляет код по SMS. Удобно, но уязвимо для SIM-swap и ретрансляции — самый хрупкий метод.

Три основных метода OTP. Сила сводится к «можно ли отдать это поддельному сайту?».

Все они разделяют природу «одноразовый, короткоживущий», поэтому даже если фиксированный пароль утечёт, сам код трудно использовать повторно. Особенно TOTP вычисляется внутри приложения без сетевого обмена, поэтому у него нет пути перехвата, как у SMS.

Сильные стороны и пределы: его всё же можно «отдать» фишингу

OTP закрывает слабости фиксированных паролей, но это не панацея. Решающий предел в том, что код читает и вводит человек.

Где OTP работает

  • останавливает захваты из-за утёкших / повторно используемых паролей
  • даже если его увидели, он быстро становится недействительным и его трудно использовать повторно
  • TOTP приложения-аутентификатора работает офлайн и устойчивее к перехвату, чем SMS

Где OTP ломается

  • фишинг «злоумышленник посередине» (AiTM): поддельный сайт ретранслирует OTP настоящему и входит
  • SIM-swap: угнать номер телефона и выманить SMS-OTP
  • первопричина = человек может отдать код поддельному сайту (он не привязан к домену)

Взгляд этого сайта: OTP — промежуточный пункт, а пункт назначения — passkey

OTP — отличный первый шаг из «только пароль». На деле, будь то SMS или TOTP, само его включение останавливает большинство захватов. Но наш сайт считает OTP промежуточным пунктом, а не пунктом назначения. Пока фишинг «злоумышленник посередине» остаётся реальной угрозой, конечное состояние — passkey (FIDO2), чья подпись привязана к домену и по конструкции не может быть предъявлена поддельному сайту. Приоритет ясен: сначала включите OTP везде, затем поднимите ключевые аккаунты (почта, домен, платежи) до passkey. Смысл в том, чтобы не полагаться на «распознать поддельный сайт за счёт внимательности».

Читать дальше

FAQ

QЧем одноразовый пароль отличается от обычного?
A

Обычный пароль остаётся неизменным (фиксированным), пока вы его не смените, поэтому после утечки им можно злоупотреблять, пока вы его не поменяете. Одноразовый пароль (OTP) разовый — действителен лишь один раз и лишь короткое время — и становится недействительным в момент использования. Это делает его трудным для повторного применения, даже если его увидели, и покрывает слабости фиксированных паролей (утечки и повторное использование). Многие сервисы применяют его как второе доказательство поверх пароля, как один из методов двухфакторной аутентификации.

QБезопасен ли одноразовый пароль по SMS?
A

Он явно сильнее одного пароля, но это самый слабый вид OTP. SMS можно перехватить через SIM-swap (угон вашего номера телефона) или выманить фишингом «злоумышленник посередине», где поддельный сайт его ретранслирует. Где можно, переходите на TOTP приложения-аутентификатора, а для важных аккаунтов — на passkey.

QПочему код приложения-аутентификатора меняется примерно каждые 30 секунд?
A

Потому что это TOTP (одноразовый пароль на основе времени). Приложение и сервис вычисляют один и тот же код из общего секрета и текущего времени с фиксированным интервалом (часто 30 секунд). Когда интервал проходит, старый код становится недействительным, и его сменяет новый. Короткая жизнь сужает окно, в котором украденный код пригоден.