Skip to content
Latchkey

O que é uma Senha de Uso Único? Códigos que Funcionam Uma Vez

Uma senha de uso único (OTP) é um código curto válido apenas para um único uso ou uma breve janela, de modo que capturá-lo mais tarde é inútil.

Uma senha de uso único, ou OTP, é uma credencial projetada para ser usada uma vez e depois descartada. Como expira quase imediatamente, um atacante que intercepta uma OTP antiga não ganha nada. As OTPs são os códigos do seu aplicativo autenticador, o segundo fator que torna a autenticação multifator prática para logins do dia a dia.

Como as OTPs são geradas

  • TOTP: baseado em tempo, derivado de um segredo compartilhado e do relógio atual.
  • HOTP: baseado em contador, derivado de um segredo compartilhado e de um contador incremental.
  • Ambos produzem códigos curtos que mudam e expiram rapidamente.

Por que o uso único importa

Uma senha reutilizável pode ser capturada e repetida para sempre até que seja alterada. Uma OTP é válida por um único uso ou cerca de 30 segundos, então um código roubado torna-se inútil quase imediatamente. Essa janela curta é justamente o objetivo.

TOTP por dentro

A OTP baseada em tempo combina um segredo compartilhado na configuração com o horário atual, gerando um hash que produz um código de seis dígitos que ambos os lados calculam de forma independente. Nenhum código trafega pela rede antecipadamente, e é por isso que os aplicativos autenticadores funcionam offline.

OTPs e CI/CD

As OTPs protegem as contas humanas por trás dos seus pipelines, especialmente como o segundo fator na MFA em hosts de código-fonte e consoles de nuvem. Os pipelines automatizados não conseguem digitar uma OTP, então o acesso de máquina usa tokens delimitados e OIDC em vez disso.

Limites e riscos

As OTPs entregues por SMS podem ser obtidas por phishing ou interceptadas. A TOTP gerada por aplicativo é mais forte, mas ainda pode ser retransmitida por uma página de phishing convincente em tempo real. As chaves de segurança de hardware evitam isso porque verificam o site real, em vez de apenas produzir um código.

Onde as OTPs ficam na stack

Pense em uma OTP como um segundo fator descartável para pessoas. Ela não substitui as credenciais delimitadas e de curta duração que os pipelines usam em runners efêmeros (como os runners gerenciados da Latchkey) para se autenticar em serviços.

Principais conclusões

  • Uma OTP é válida para um único uso ou uma janela curta, derrotando a repetição de um código capturado.
  • O TOTP é baseado em tempo e o HOTP é baseado em contador; ambos usam um segredo compartilhado.
  • As OTPs são um segundo fator humano; os pipelines usam tokens delimitados em vez disso.

Guias relacionados