- Куда приходят одноразовые коды TOTP: ответ прост
- Что такое TOTP и почему коды обновляются
- Как TOTP генерирует коды: роль секрета и синхронизации
- Что нужно сделать, чтобы использовать TOTP (по шагам)
- Какое именно “место” хранит коды: телефон и приложение
- Почему TOTP считают безопасным способом аутентификации
- TOTP vs HOTP: в чём отличие
- Как подключить TOTP на Госуслугах: понятный маршрут в кабинете
- Если нет смартфона: что важно знать
- Что делать, если вы “не успеваете” ввести код
- Итог: куда приходят одноразовые коды TOTP
Похоже, вы столкнулись с главной путаницей: при TOTP одноразовые коды не “приходят” в SMS и не отправляются на почту. Они генерируются в приложении, которое вы заранее настроили, а затем вводятся при входе. Ниже разберём, куда именно нужно смотреть, что происходит “под капотом” и как включить TOTP-подтверждение на Госуслугах.
Куда приходят одноразовые коды TOTP: ответ прост
Одноразовый код TOTP появляется в вашем приложении для генерации одноразовых кодов на смартфоне.
Это ключевой момент: при входе с TOTP система просит вас ввести актуальный код, а код берётся не “из сообщения”, а из приложения. На компьютере вы видите поле для ввода и, как правило, QR-код на этапе настройки. После подключения при каждом новом входе вы просто берёте текущий код в приложении.
Что такое TOTP и почему коды обновляются
TOTP — это одноразовый пароль на основе времени (time-based). Он относится к многофакторной аутентификации: вы подтверждаете личность не только паролем, но и вторым фактором.
Обычно коды меняются каждые 30–60 секунд: вы вводите то, что показывает приложение прямо сейчас, пока период ещё не закончился.
Как TOTP генерирует коды: роль секрета и синхронизации
Чтобы коды получались одинаковыми на сервере Госуслуг и на вашем телефоне, используется секретный ключ.
Когда вы подключаете TOTP (настройка), сервер выдает QR-код или предлагает ввести секретный ключ. Ваше приложение получает этот секрет и дальше вычисляет коды так же, как вычисляет их сервер.
Поэтому важно понимать механику:
- секрет хранится в приложении;
- код рассчитывается по времени;
- сервер сравнивает ваш код с тем, что должен быть “в текущий момент времени”.
Что нужно сделать, чтобы использовать TOTP (по шагам)
Вам понадобится смартфон с приложением для одноразовых кодов и доступ к личному кабинету на компьютере.
Настройка TOTP на Госуслугах (логика “QR → секрет → коды”)
Схема обычно такая:
- в личном кабинете в разделе безопасности включаете “вход с подтверждением”;
- выбираете вариант одноразовый код (TOTP);
- получаете QR-код;
- в приложении на телефоне сканируете QR-код или вводите секретный ключ;
- в приложении появится запись для вашей учётной записи (например, “gosuslugi”), и вы увидите, какой пароль-код нужно вводить при входе.
Вход после настройки
Когда вы будете заходить:
- на компьютере вводите логин и пароль;
- на экране появляется поле для второго фактора;
- вы открываете приложение на телефоне и берёте актуальный одноразовый код;
- вводите код на сайте.
Какое именно “место” хранит коды: телефон и приложение
Разница с SMS в том, что коды TOTP не “доставляются”. Их вычисляет приложение на основе времени и секретного ключа.
Поэтому, если вы ищете “где приходит код”, ориентируйтесь на правило:
- SMS-коды приходят на телефон по номеру;
- TOTP-коды отображаются в приложении, которым вы сканировали QR-код при настройке.
Почему TOTP считают безопасным способом аутентификации
TOTP считается одной из безопасных форм аутентификация, потому что код одноразовый и часто меняется. Если у злоумышленника украдут пароль, без доступа к приложению и его секрету он не сможет ввести актуальный код.
Также коды вычисляются обеими сторонами по одному алгоритму и секрету, поэтому нет необходимости отправлять код по сети в виде сообщения, которое можно перехватить.
TOTP vs HOTP: в чём отличие
TOTP и HOTP похожи по смыслу (оба дают одноразовый пароль), но работают по разным “триггерам”:
| Метод | От чего зависит смена кода | Как часто меняется |
|---|---|---|
| TOTP | от времени | обычно каждые 30–60 секунд |
| HOTP | от количества запросов | меняется при каждом запросе |
На практике для большинства сценариев используют TOTP, потому что код регулярно обновляется по времени.
Как подключить TOTP на Госуслугах: понятный маршрут в кабинете
Обычно это выглядит так:
- зайдите в личном кабинете в раздел безопасность;
- найдите пункт “вход с подтверждением”;
- выберите “по одноразовому коду (TOTP)”;
- подтвердите действие паролем;
- получите QR-код;
- на телефоне откройте приложение и добавьте аккаунт через сканирование QR-кода;
- завершите настройку.
Если нет смартфона: что важно знать
TOTP завязан на приложение, которое должно быть установлено на смартфон. Если смартфона нет, подключить такой способ, как правило, невозможно, потому что “место”, где отображается одноразовый код, просто отсутствует.
Что делать, если вы “не успеваете” ввести код
Поскольку код действует недолго, лучше придерживаться простых правил:
- держите приложение открытым;
- вводите код сразу после появления поля на экране;
- если сайт запросил код, а в приложении он уже сменился, берите новый актуальный.
Итог: куда приходят одноразовые коды TOTP
Одноразовые коды TOTP не приходят в SMS и не приходят на почту. Они появляются на экране смартфона в приложении для одноразовых кодов, куда вы ранее подключили вашу учётную запись (через QR-код или секретный ключ). Затем вы вводите показанный в приложении код при входе в Госуслуги.