OTP (One-Time Password)

OTP (One-Time Password)

한 번만 사용 가능한 동적 비밀번호로 시간/이벤트 기반 생성하여 재사용 공격을 방지하는 인증 기술

특징: 재사용 불가, 시간/이벤트 기반, 2차 인증 수단

구성요소: 시드(Seed/공유 비밀값), 카운터/시간, OTP 생성기

HOTP(RFC 4226): HOTP(K,C) = Truncate(HMAC-SHA1(K,C)) mod 10^6, 카운터 기반, 유효 기간 무기한

TOTP(RFC 6238): TOTP(K,T) = HOTP(K, floor((UnixTime-T0)/30)), 30초 갱신, ±30초 허용

비교: HOTP(카운터/유효기간 김/재전송취약) vs TOTP(시간/30초 만료/안전/자동갱신)

대표 구현: HOTP(RSA SecurID), TOTP(Google Authenticator, Authy)

적용사례: 2차 인증, 금융 거래 승인, VPN 접속

비교: SMS OTP(SS7 공격/SIM 스와핑) vs TOTP(앱 기반/중간) vs 하드웨어 토큰(가장 안전)

연관: MFA, 인증, FIDO, HMAC