HOTP (HMAC-based One-Time Password)

HOTP (HMAC-based One-Time Password, RFC 4226) est l'algorithme OTP basé sur counter incrémental (vs time-based pour TOTP). Premier standard OTP open formalisé par OATH (Initiative for Open Authentication) en 2005. Largement remplacé par TOTP pour UX, mais reste utilisé certains hardware tokens et legacy systems.

Fonctionnement : HOTP(K, C) = Truncate(HMAC-SHA1(K, C)) où K=secret partagé, C=counter (8 bytes). Truncation extrait 6-8 chiffres. Counter incrémenté à chaque code généré ou validé.

Différences avec TOTP :
(1) **Counter-based** vs time-based — chaque code valid jusqu'à utilisé (no expiry naturel).
(2) **Re-sync challenges** — counter peut désynchroniser (app generate 5 codes user only uses 1, counter ahead) — server typically allows skip-ahead window (validate codes within counter+lookahead range), and resyncs.
(3) **No time dependency** — works on devices without clock (cheap tokens).
(4) **Less user-friendly** — code stays valid until used, can be confused.

Use cases :
(1) **Hardware tokens** old-school — Yubico OATH-HOTP, RSA SecurID-like tokens, banking calculator tokens.
(2) **Lookup cards** — printed pre-computed codes (legacy banking).
(3) **Niche scenarios** without time sync.

La plupart applications préfèrent maintenant TOTP (Google Authenticator, Authy, etc. supportent both but default TOTP). Quelques apps backup-codes implémentent essentiellement HOTP (counter-based pre-generated codes).

Voir aussi : YubiKey OATH-HOTP mode (HMAC slot programmable HOTP), comparison HOTP vs TOTP vs FIDO2. Compétences SC-300, Security+.