Dacă prin „cheie bazată pe timp”, vă referiți la parola unică de șase până la opt cifre pe care o introduce utilizatorul, atunci nu, compromiterea uneia dintre acestea nu compromite parolele viitoare. Acest lucru se datorează faptului că parola unică este generată dintr-o ieșire HMAC cu secretul partajat ca cheie și marcajul de timp ca valoare. Dacă un atacator ar putea determina secretul partajat sau alte ieșiri dintr-un set de ieșiri cunoscute, atunci HMAC nu ar fi un cod de autentificare a mesajului securizat și în prezent credem că este.
Mai mult, parola unică este derivată din doar patru dintre acești octeți, așa că, chiar dacă HMAC cu funcția hash dată s-a dovedit a fi nesigur, construcția TOTP este concepută pentru a adăuga o rezistență suplimentară la atac în modul în care selectează octeții. Cu toate acestea, așa cum am menționat mai sus, nu avem niciun motiv să credem că HMAC cu SHA-1, SHA-256 sau SHA-512 (care sunt construcțiile utilizate în TOTP) sunt vulnerabile la un atac mai bun decât forța brută atunci când este utilizat în acest mod. .
Dacă prin „cheie bazată pe timp”, vă referiți la secretul partajat (de obicei încorporat în codul QR scanat) care este folosit pentru a obține parola unică, atunci da, acesta este un compromis complet, deoarece acesta este întregul secret partajat și este posibil să se obțină toate rezultatele trecute și viitoare din asta.
