安全开发:身份认证方案之 Google 身份验证器和基于时间的一次性密码 TOTP 算法

最新推荐文章于 2024-07-18 14:37:07 发布
最新推荐文章于 2024-07-18 14:37:07 发布
阅读量1.1k 收藏 12
点赞数 7
文章标签: 算法 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Innocence_0/article/details/139658549
版权
  • 参考资料在文末注明,如本文有错漏欢迎评论区指出👏

目前很多应用都逐步采用了双因子认证或者说MFA认证方案,因此本文介绍一下背后的机制和TOTP算法
原理。使用TOTP算法,只要满足两个条件:1)基于相同的密钥;2)时钟同步;只需要事先约定好密钥,TOTP算法就可以保证校验段和被校验端具有相同的输出。

OTP

在介绍 TOTP 算法前,先介绍一下 OTP 算法 。OTP,One Time
Password,又称一次性口令、一次性密码、动态密码、单次有效密码。OTP 基于专门的算法每隔一定的时间间隔生成一个不可预测的随机数字组合
。OTP密码有效期仅在一次会话或者交易过程中,因此不容易受到重放攻击。OTP分为计次使用和计时使用两种,计次使用的OTP产出后,可在不限时间内使用。计时使用的
OTP 需要设置密码有效时间,从30秒到两分钟不等,而 OTP 在进行认证之后即废弃不用,下次认证必须使用新的密码,降低了不经授权访问限制资源可能性。

OTP密码进一步分为:

  • HOTP:HMAC-based One-Time Password ,基于 HMAC 算法的一次性密码。事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过 HASH 算法运算出一致的密码。
  • TOTP:Time-based One-Time Password写,基于时间戳算法的一次性密码。 时间同步,基于客户端的动态口令和动态口令验证服务器的时间比对,一般每 30 秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。

计算 OTP 串的公式:OTP(K,C) = Truncate(HMAC-SHA-1(K,C))
K 表示秘钥串;C 为随机数;HMAC-SHA-1 表示使用 SHA-1 做 HMAC;Truncate
表示怎么截取加密后的串,并取加密后串的哪些字段组成一个数字;

对 HMAC-SHA-1 方式加密来说,Truncate 实现如下:
HMAC-SHA-1 加密后的长度得到一个 20 字节的密串;取这个 20 字节的密串的最后一个字节,取这字节的低 4
位,作为截取加密串的下标偏移量;按照下标偏移量开始,获取4个字节,按照大端方式(符合人类习惯的形式,比如 0x12 34 , 0x12
存放在低地址,大端即大端在前/高位在低地址存放的意思)组成一个整数;截取这个整数的后 6 位或者 8 位转成字符串返回。

TOTP 将其中的参数 C 变成了由时间戳产生的数字:C = (T - T0) / X; T 表示当前 Unix 时间戳:T0 一般取值为 0,也就是
1970 年 1 月 1 日。X 表示时间步数,也就是说多长时间产生一个动态密码,这个时间间隔就是时间步数 X,系统默认是 30 秒;

一个信息系统要集成 OTP 的认证方式,需要完成以下的工作:
1、开发手机令牌
2、开发认证的服务端,服务端需要完成令牌种子生成、令牌种子分发、动态口令生成等功能。
3、在OTP认证的服务端需要将业务系统的用户与分发的令牌建立关联,这样才能完成最终的登录验证。

TOTP

![](https://img-
blog.csdnimg.cn/direct/bf979f57b2064847ba298cad896ab5e1.png#pic_center)
TOTP 算法(Time-based One-time Password algorithm) 即基于具有时间戳计数器的
OTP。通过定义纪元(T0)的开始并以时间间隔(TI)为单位计数,将当前时间戳变为整数时间计数器(TC)。TOTP 实现可以使用 HMAC-SHA-256
或HMAC-SHA-512 (基于 SHA-256 或 SHA-512)函数来实现,而不是 HOTP 计算中的 HMAC-SHA-1 函数【注:SHA1
存在 HASH 碰撞】。

TOTP 密码生成过程

  1. 初始化 :用户在服务提供商(如 Google 等)注册账户时,服务提供商(服务器)会为用户生成一个 密钥(Secret Key) 并保存在数据中。然后把这个密钥会以某种方式(通常是 二维码 )分享给用户,用户将其添加到(通过扫码)自己的身份验证器应用(如 Google Authenticator、Microsoft Authenticator)中。
  2. 生成 TOTP :身份验证器应用会按照固定的时间间隔(常见的是 30 秒)使用 HMAC-SHA1 算法,使用当前的时间戳和在初始化步骤中获取的密钥,生成一个新的一次性密码,这个密码通常是一个 6 位数字(但也可能更长或更短)。
  3. 验证 TOTP :当用户尝试登录或执行需要验证的操作时,会被要求提供当前的一次性密码。用户从自己的身份验证器应用中获取这个密码,并输入到服务提供商的网站或应用中。服务提供商会使用同样的算法和密钥,以及当前的时间戳,生成一个一次性密码,并将其与用户提供的密码进行比较。如果两个密码匹配,那么用户的身份就被认为已经验证。

基于 Node.js 实现支持 Google 身份验证器的 TOTP 算法

import { Secret, TOTP } from 'otpauth';

// 生成密钥
const secret = Secret.fromUTF8('your_secret_key'); 

// 生成TOTP实例
const totp = new TOTP({
  secret,
  issuer: 'Example',
  label: 'alice@example.com'  
});

// 生成token
const token = totp.generate();  // 30s
console.log('totp token:')
console.log(token);

// 验证token
const isValid = totp.validate({
  token,
  window: 1  // 一个窗口为一个 period
});

if(isValid !== null) {
  console.log('Valid token'); 
} else {
  console.log('Invalid token');
}

// 转成uri格式
const uri = totp.toString(); 
console.log(uri);

Reference

  1. Google身份验证器、基于时间的一次性密码 (TOTP)算法
  2. OTP概念及实现原理简析
  3. 基于时间的一次性密码 TOTP 详解
  4. 密码学I:密码系统、OTP密码和密码的安全性
  5. 一文搞懂 OTP 双因素认证
  6. 使用 Golang 实现基于时间的一次性密码 TOTP
  7. 基于 Node 实现 TOTP:Otplib

接下来我将给各位同学划分一张学习计划表!

学习计划

那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:

阶段一:初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)

那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?

阶段二:中级or高级网络安全工程师(看自己能力)

综合薪资区间15k~30k

7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。

零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;

Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三:顶级网络安全工程师

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资料分享

当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。

程序员负总裁
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Google身份验证
02-14
Google身份验证
two-factor-auth:实现基于时间一次性密码算法的两因素身份验证Java代码
05-02
2因子验证(2FA)Java代码,它使用基于时间一次性密码(TOTP算法。 您可以在Google Authenticator移动应用或Authy移动或浏览应用中使用此代码。 请参阅的。 可以从获得代码。 Maven软件包通过发布 要使此...
【TOTP配置】How to set up 2FA with an authentication application (TOTP)
Mecaly的博客
01-24 575
如何配置一个 TOTP
关于Google身份验证、基于时间一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 7862
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
在线TOTP工具,支持Github双2FA验证,无需下载任何应用
最新发布
yunmoon的博客
07-18 537
在线OTP动态口令生成安全便捷登录验证,为账户提供额外保护。使用动态口令技术,每次登录生成唯一一次性密码,防止恶意攻击和盗号。简单易用,输入用户名和密钥,系统支持自动生成6和8位动态口令。无需安装软硬件,访问网站或使用移动应用即可获取。
TOTP:Time-based One-time Password Algorithm(基于时间一次性密码算法
weixin_34228617的博客
01-08 888
TOTP - Time-based One-time Password Algorithm is an extension of the HMAC-based One Time Password algorithm HOTP to support a time based moving factor. TOTP(基于时间一次性密码算法)是支持时间作为动态因素基于HMAC一次性密码算法的扩展。 ...
[RFC6238] TOTP: 基于时间一次性密码生成算法
翎野君的博客
01-04 1036
原创翎野君翎野君2019-03-28 22:42 在闲暇时间做了一个TOTP相关的开源项目,在项目初步完成之余,我尝试对[RFC6238]文档进行了翻译,供大家参考与查阅,若有不妥之处,还望各位前辈海涵斧正。 生活中我们会经常使用到TOTP算法应用,如银行的动态口令、网络游戏中的将军令、登录场景下的手机二次验证等等。 下图便是一个常见的OTP动态密码生成: 为了提高游戏账号的安全...
totp:基于时间一次性密码
06-16
这是一种与 Google Authenticator 兼容的基于时间一次性密码算法的实现。 您可以在阅读更多关于 TOTP 的信息。 用法 密码来源于一个秘密和一个时间。 您可以使用TOTP.secret函数获取新的随机机密。 TOTP . ...
otpgo:Go的基于时间一次性密码(TOTP)和基于HMAC的一次性密码(HOTP)库
05-08
Go的基于HMAC和基于时间一次性密码(HOTP和TOTP)库。 实现和 。 内容 在Authenticator App中注册 二维码 手动注册 默认值 HOTP参数 TOTP参数 支持的运营 生成HOTP和TOTP代码。 验证HOTP和TOTP代码。 将OTP...
MinaOTP-Shell:TOTP身份验证工具作为终端工具
02-05
MinaOTP-壳 MinaOTP-Shell是一种两因素身份验证工具,可在终端中作为命令行工具运行。 这个命令行工具将为您生成安全的动态2FA令牌,在终端中的add , remove , list , show和import将非常方便。 安装 pip install minaotp 用法 帮助信息 $ mina -h usage: mina [-h] {list,add,remove,show,import} ... MinaOTP is a two-factor authentication tool that runs in the terminal positional argume
totp-me:Java ME的TOTP身份验证-开源
05-13
不仅是用于Java启用电话的两步验证的Google身份验证。 这是RFC 6238身份验证的MIDlet-1.0实现-TOTP:基于时间一次性密码算法。 它快速,简单,并且支持多个配置文件。
totp:基于时间一次性密码算法(rfc6238)
04-06
TOTP类 实现基于时间一次性密码算法(TOTP) 可以与例如一起使用。 。 您需要运行Halon 5.5或更高版本,因为使用了base32_decode()和base32_endode()函数。 描述 根据您(Halon系统)和用户已知的秘密,您可以验证用户在给定时间提供的令牌。 令牌是由6个整数组成的字符串。 要进行验证,请使用机密创建类TOTP的实例。 使用对象的功能verify_token(user_token)验证用户提供的令牌。 时间以30秒为单位。 令牌在上一个,当前和下一个时间段内有效。 这是为了考虑到用户的React时间以及Halon与用户系统之间的时间差。 用法示例 使用base32编码的机密验证令牌: $base32_encoded_user_secret = base32_encode("the-secret-to-use"); $TOTP = TOTP([
Google身份验证:Clojure程序使用TOTP计算您的Google身份验证OTP
01-30
Google身份验证 Clojure程序,用于计算您的Google身份验证otp。 我个人使用它来自动与苹果脚本一起连接到VPN。 但是您可以找到其他用例,在这些用例中,您需要自动化OTP的计算和提交。 托普 Google身份验证将Totp(基于时间一次性密码)用于2要素身份验证。 当您/您的应用在Google身份验证中注册时,Google会为您提供一个共享密钥(可以采用QR码的形式)。 共享密钥是一个Base32Encoded字符串,看起来像这样的JBSWY3DPEHPK3PXP TOTP算法通过对密钥和当前时间戳进行HMAC(表示为距EPOCH 30秒的步长)来计算Otp。 因此,OTP每30秒更改一次。 您可以在阅读有关该算法的更多信息。 使用情况(JVM) 该程序接收一个文件,该文件包含您的秘密密钥(已编码base32)作为参数,以及一个可选参数,用于指定otp写入的文件路径。 如果未指定第二个参数,则将otp打印到控制台。 make apply-patch lein compile lein uberjar cd target 由于我们使用的是气候信息,因此
谷歌身份验证(Google Authenticator)GA
01-13
简单学习下GA的生成算法,写了个小工具;当做学习记录 可以去哈勃看看: https://habo.qq.com/file/showdetail?md5=512eea7730feda2bc412df8dcfd061ef&pk=ADcGY11uB24IPls%2FU2o%3D
springsecuritytotp:使用Google Authenticator登录Spring Security(基于时间一次性密码算法,TOTP
02-05
在本文中,我们将深入探讨如何使用Google Authenticator与Spring Security集成,实现基于时间一次性密码算法(TOTP)的双因素身份验证。这是一项重要的安全措施,它为应用程序提供了额外的安全层,防止未经授权的...
nimble_totp:一个小型的Elixir库,用于基于时间一次性密码(TOTP
02-05
TOTP是HOTP(基于计数一次性密码)的一种变体,它根据当前时间生成一次性密码。这个过程主要分为以下步骤: 1. **密钥生成**:首先,服务和客户端需要共享一个密钥(通常为16-32字节的Base32编码字符串)。 2...
TOTP:Time-based One-time Password Algorithm
weixin_30565327的博客
05-04 130
转自: http://www.cnblogs.com/dyingbleed/archive/2012/12/05/2803782.html http://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm http://tools.ietf.org/html/rfc6238 转载于:https://www.cnblogs....
python google auth totp_python基于谷歌身份验证的动态密码实现
05-24
Google Authenticator是一款基于TOTP算法的动态口令生成,可以生成一次性密码,用于用户的身份验证。而python google auth totp是一个基于python的库,可以实现TOTP算法和HOTP算法,用于生成动态密码。 首先,你需要安装 python google auth totp 库,可以使用 pip install google-authenticator 进行安装。 接下来,你可以使用以下代码来生成动态密码: ```python import pyotp # 生成秘钥 key = pyotp.random_base32() print("Secret Key:", key) # 生成动态密码 totp = pyotp.TOTP(key) password = totp.now() print("Password:", password) ``` 在这个例子中,我们使用 `random_base32()` 方法生成一个基于Base32编码的秘钥,然后使用 `TOTP` 类创建一个TOTP对象。最后,使用 `now()` 方法获取当前时间下的动态密码。 你可以将秘钥保存在数据库中,用于用户的身份验证。当用户登录时,获取保存在数据库中的秘钥,并使用 `TOTP` 类创建一个TOTP对象。然后,与用户输入的动态密码进行比较,如果相同,则可以认为是合法用户。 以上就是python google auth totp的基本使用方法。希望对你有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值