TOTP 算法实现:双因素认证的基石(C/C++代码实现)

最新推荐文章于 2024-06-07 19:01:50 发布
最新推荐文章于 2024-06-07 19:01:50 发布
阅读量734 收藏 13
点赞数 7
分类专栏: C/C++ 文章标签: 算法 c语言 c++ linux TOTP算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen1415886044/article/details/139075825
版权

双因素认证(Two-Factor Authentication, 2FA)扮演着至关重要的角色。它像是一道额外的防线,确保即便密码被窃取,不法分子也难以轻易突破。在众多双因素认证技术中,基于时间的一次性密码(Time-Based One-Time Password, TOTP)算法因其安全性高、使用便捷而受到广泛应用。

TOTP算法是一种基于时间的一次性密码生成算法,它的核心思想是利用时间作为变化的因子来生成动态的密码。这种算法通常与用户的个人信息结合使用,如用户名或电子邮件地址,以及一个共享的秘密密钥。这个秘密密钥在用户端和服务端预先共享,是生成正确OTP的关键。

TOTP是如何工作的呢?

让我们通过一个简单的比喻来理解其原理。想象一下,你有一本只属于你和你的朋友的书,书中记载了一连串的故事,每个故事都有一个编号。每当你想要和朋友传递一个秘密信息时,你会查找当前日期对应的故事编号,并从中选取特定的段落来传递信息。在这个例子中,书就像是秘密密钥,故事编号对应于时间戳,而传递的信息则是一次性密码。

具体到TOTP算法,它使用了哈希函数(如SHA-1、SHA-256等)和时间戳。当用户想要登录系统时,用户的设备会计算当前时间与预设时间步长的差值,然后将这个差值与共享的秘密密钥一起输入到哈希函数中。哈希函数处理后输出一串较长的二进制数据,这串数据再经过模运算,得到一个较短的数字,这个数字就是OTP。用户需要在规定的时间内将这个OTP输入到验证系统中,系统同样会根据相同的秘密密钥和时间差值计算出一个OTP,并与用户提供的OTP进行比对,若两者一致,则认证成功。

在实现上,TOTP算法需要考虑到时间同步的问题。由于网络延迟或者设备时钟不准确,可能导致用户设备与服务器之间的时间有偏差。因此,TOTP算法通常会有一个时间窗口(如30秒),允许在这个时间范围内的OTP都是有效的。

TOTP的优势在于其安全性和用户体验。由于OTP是基于时间和共享秘密密钥生成的,即使黑客截获了某个时刻的OTP,它也无法在其他时间点使用,因为OTP每隔一段时间就会变化。此外,用户可以不需要记忆复杂的密码,只需拥有注册时分配的密钥(通常存储在硬件令牌或软件应用中),就可以轻松完成身份验证。

TOTP的实现

Base32编码与解码

Base32编码原理:
Base32编码是一种将二进制数据转换成32种可打印字符的编码方式。它主要用于电子邮件和URL中传输二进制数据。Base32使用A-Z的大写字母(不使用C, E, G, I, O, Q, U, V)和数字2-7来表示数据。每8位二进制数据可以编码为5个Base32字符,这意味着编码后的数据长度是原始数据的大约1.33倍。

实现Base32编码:
编码过程涉及将输入的字节数据分成5位一组,每组转换为对应的Base32字符。例如,如果输入字节是0x9A,它对应于二进制的10011010,然后将其分成两组:10011010。每组转换为Base32字符,分别是SK

实现Base32解码:
解码过程与编码相反,它将Base32字符转换回原始的字节数据。解码函数需要处理输入的Base32字符串,跳过任何非Base32字符(如填充的等号),并将每个字符转换回相应的5位二进制值。然后,这些值被重新组合成字节数据。

HMAC-SHA1算法

HMAC-SHA1基本概念:
HMAC(Hash-based Message Authentication Code)是一种消息认证码,它使用哈希算法(如SHA-1)和密钥来提供消息的完整性保护和认证。SHA-1是一种广泛使用的加密哈希函数,它可以产生一个160位(20字节)的哈希值。

在TOTP中的应用:
在TOTP中,HMAC-SHA1用于生成一个基于密钥、时间戳和算法参数的哈希值。这个哈希值随后被用来生成6位数的一次性密码。通过使用HMAC-SHA1,TOTP确保了即使密钥被泄露,生成的密码也难以被预测。

时间戳处理

时间戳的重要性:
TOTP算法依赖于时间戳来生成密码,因此时间同步至关重要。如果客户端和服务器之间的时间不同步,生成的密码可能会无效。

确保时间同步:
为了确保时间同步,可以采取以下措施:

  • 使用网络时间协议(NTP)来同步客户端和服务器的时间。
  • 在用户设备上设置时间校验机制,确保时间偏差在可接受范围内。

密码生成逻辑

从HMAC-SHA1输出中提取密码:

  1. 使用HMAC-SHA1算法和当前时间戳生成一个20字节的哈希值。
  2. 对哈希值进行处理,提取出用于生成密码的部分。具体来说,取哈希值的最后一个字节的最低4位作为索引,从这个位置开始读取接下来的4个字节。
  3. 将这4个字节视为一个整数,然后对1000000取模,得到一个6位数的密码。

生成6位数的密码:

  • 将上述步骤得到的整数转换为字符串形式,并确保它是一个6位数的密码。如果需要,可以在前面补零。

TOTP 算法实现:双因素认证的基石(C/C++代码实现)

双因素认证(2FA)作为一种增强安全性的方法应运而生。基于时间的一次性密码(TOTP)是2FA的一种实现方式,它提供了一种动态生成、一次性使用的密码,极大地提高了账户的安全性。下面实现类似Google Authenticator这样的应用程序。


void hmac(
    void *dest,
    const void *key,
    uint32_t key_len,
    const void *msg,
    uint32_t msg_len,
    void (*hash)(char *dest, const char *str, int len),
    uint16_t block_size,
    uint16_t output_size
);
typedef struct
{
    uint32_t state[5];
    uint32_t count[2];
    unsigned char buffer[64];
} SHA1_CTX;

void sha1_transform(uint32_t state[5], const unsigned char buffer[64]);
void sha1_init(SHA1_CTX * context);
void sha1_update(SHA1_CTX * context, const unsigned char *data, uint32_t len);
void sha1_final(unsigned char digest[20], SHA1_CTX * context);
void sha1(char *hash_out, const char *str, int len);
void bytes_array_reverse(uint8_t* bytes, int size);
int bytes_array_to_int(const uint8_t* bytes, int start, int end);
int base32_decode(const uint8_t *encoded, uint8_t *result, int bufSize);
char* str_upper(char* str);
char* str_pad_left(char* str, char pad, int len);
char* str_pad_right(char* str, char pad, int len);
int int_to_str(int i, char *buf, int buf_len);

void get_2fa_code(char *secret, char code[7])
{
    char key[20];
    char hash[20];
    int key_len;
    uint64_t msg;

    str_upper(secret);  //转换为大写以获得有效的Base32格式
    key_len = base32_decode((uint8_t*)secret, (uint8_t*)key, 20);           // 将机密解码为字节数组
    msg = time(NULL) / 30;                                                  // TOTP是HOTP,种子为30秒。

    bytes_array_reverse((uint8_t*)&msg, 8);                                
    hmac(hash, key, key_len, (uint8_t*)&msg, 8, sha1, 64, 20);              // 生成hmac哈希

    int offset = hash[19] & 0xF;                                            
    int header = bytes_array_to_int((uint8_t*)hash, offset, offset + 4);    // 从偏移量开始截断4个字节
    header = header & 0x7fffffff;                                           // 删除最高有效位
    header = header % 1000000;                                              // 生成小于7位的余数

    int_to_str(header, code, 7);    // 将代码转换为字符串
    str_pad_left(code, '0', 6);     // 从左起用0填充代码,直到代码长度为6
}
int main(int argc, char **argv)
{
...

    if (argc != 2) {
        printf("./ga [secret]\n");
        return (0);
    }

    get_2fa_code(argv[1], code);
    printf("Code :\n%s\n", code);
    return (0);
}

运行结果:

If you need the complete source code, please add the WeChat number (c17865354792)

总结

Google Authenticator 的核心原理是利用共享密钥和一个随时间变化的因子来生成一次性密码,从而实现第二因素的身份验证。这种方法既方便又安全,因为它不需要额外的硬件令牌,只需要用户的智能设备即可。此外,由于 OTP 是一次性的,并且随时间变化,即使黑客截获了当前的 OTP,也无法在未来的时间点使用它来冒充用户。

We also undertake the development of program requirements here. If necessary, please follow the WeChat official account 【程序猿编码】and contact me

程序猿编码
关注
  • 7
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TOTP动态密钥生成器Linux/C/C++实现
weixin_45646368的博客
09-13 2268
TOTP动态密钥生成器Linux/C/C++ TOTP.h #ifndef __TOTP_H #define __TOTP_H #include <iostream> #include <sstream> #include <string> #include <vector> #include <ctime> #include <iomanip> #include <algorithm> #define PUBLIC_K
TOTP动态密码认证功能,让天下无贼!
cto_yf_hu的博客
07-15 4964
据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安全隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。 1、现行静态固定密码的缺陷 1)自身不安全导致ID盗用 自己不小心泄露或主动分享密码 黑客入侵脱库,即使用户数据库加密,也可以离线破解 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA 黑客MITM抓包窃听 2)不方便导致用户友好性差 为对抗...
totp.js-master.zip_TOTP_TOTP算法_TOTP算法 js实现_totp js
09-23
totp算法用JavaScript实现实现了totp中的所有功能
基于TOTP 实现因素认证(MFA);集成Microsoft Authenticator Google Authenticator实现因素认证
最新发布
qq_45890619的博客
06-07 949
基于TOTP实现因素认证,这其实就是登录时候的一个验证码,绑定MFA后,使用Microsoft Authenticator 获取验证码进行登录。
C# totp简单实现
_BigMao的博客
04-25 356
基于GoogleAuthenticator实现动态令牌
TOTP 介绍及基于C#的简单实现
极客神殿
09-04 601
TOTP 算法是基于 HOTP 的,对于 HOTP 算法来说,HOTP 的输入一致时始终输出相同的值,而 TOTP 是基于时间来算出来的一个值,可以在一段时间内(官方推荐是30s)保证这个值是固定以实现,在一段时间内始终是同一个值,以此来达到基于时间的一次性密码生成算法,使用下来整体还不错,有个小问题,如果需要实现一个密码只能验证一次需要自己在业务逻辑里实现,只能自己实现,TOTP 只负责生成和验证。TOTP 是基于时间的一次性密码生成算法,它由。和基于事件的一次性密码生成算法不同。
因子认证,TOTP动态口令认证
qq_41633199的博客
06-25 1590
TOTP:Time-based One-Time Password写,基于对称密钥与时间戳算法的一次性认证码。时间同步,基于客户端的动态口令和动态口令验证服务器的时间比对,默认每30秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。算法安全的核心在于密钥 , 每个人通过对应账户生成的密钥是不同的 . 当他们用同一个算法加密时 , 会生成不同的随机密码,认证时客户端需要使用阿里身份宝,Goole 身份验证器等工具生成认证码。
用于实现RFC 6238和RFC 4226的OpenBSD的OTP身份验证。-C/C++开发
05-27
此工具实现RFC 6238(TOTP)和RFC 4226(HOTP)。 安装此程序仅取决于libc,login_otp OTP身份验证类型,OpenBSD才能使用身份验证器应用程序(例如Google Authenticator)登录。 此工具实现RFC 6238(TOTP)和RFC ...
Otp.NET:TOTP和HOTP的.NET实现,适用于两因素身份验证代码
02-05
该库使用C#实现TOTP代码计算。 可以使用Mono将其嵌入到移动应用程序中,或者使用服务器端来简单地验证所提供的代码。 创建一个TOTP对象 使用该库非常简单。 有一个叫做Totp的类。 只需为其创建一个新实例,然后将...
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码.zip
09-18
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码 otpauth加密插件已经构建了两个因素支持。otpauth是一次口令认证,通常被称为两个步骤验证。 你可能已经从谷歌,Dropbox等听过了。 安装使用 pip 安装otpauth很...
totp-c-1.0.zip
12-27
C语言版本基于时钟生成的动态密码算法,简称TOTP,源码及demo,已在电脑上运行过,可用。此代码比较简单明了,一看就懂。
一次性口令身份认证的设计与实现c++
10-29
实现一次性口令(OTP,One Time Password)身份认证程序
OATH HOTP/TOTP/OCRA OTP 算法
06-18
标准OATH 算法,包含时间,事件,挑战应答OTP算法
TOTP算法全解析:一次性密码的生成与应用
随手糊墙上的技术笔记
04-28 843
本文以"TOTP算法全解析:一次性密码的生成与应用"为题,详细介绍了TOTP时间密码算法的工作原理、实现方法和应用场景。文章从TOTP算法的基本工作流程开始,解释了密钥共享、时间同步、时间步长和密码生成等关键步骤。接着,文章探讨了TOTP算法的具体实现,包括HMAC算法、哈希函数选择、密码计算和编码转换。此外,文章还介绍了TOTP在多因素认证、银行服务、VPN连接和智能卡等领域的应用。通过这些内容,文章旨在帮助读者深入理解TOTP算法,并在实际应用中有效利用这一技术以增强安全性。
TOTP算法实现二步验证
weixin_33785108的博客
06-24 2263
概念 TOTP算法(Time-based One-time Password algorithm)是一种从共享密钥和当前时间计算一次性密码的算法。 它已被采纳为Internet工程任务组标准RFC 6238,是Initiative for Open Authentication(OATH)的基石,并被用于许多因素身份验证系统。 TOTP是基于散列的消息认证码(HMAC)的示例。 它使用加密哈希函...
因素认证(2FA)的技术实现
易之阴阳,量子纠缠,道之一体,缘起性空
04-21 492
用户端可能使用密码管理器来帮助生成和存储复杂的密码。综上所述,因素认证的技术实现融合了密码学、时间同步算法、通信技术、生物识别技术以及与第三方服务的集成,共同构建起一道多层次的身份验证防线,显著提升了账户的安全性。服务端接收用户输入的用户名和密码,通过哈希函数(如bcrypt、scrypt或Argon2)对存储的哈希值与用户输入密码的哈希值进行比较,确认密码是否正确。- TOTP验证:服务端生成或接收用户提交的TOTP验证码,使用与用户端相同的算法和共享密钥计算预期的验证码,对比两者是否一致。
DTCloud 实现因素验证2FA的示例代码
DTCloud
07-16 756
2FA因素验证
TOTP算法实现
欢迎来到我的博客站点
09-17 476
因子认证(2FA)是一种身份验证方法,要求用户提供密码和另一个认证因子或者至少提供两个认证因子(其中一个代替密码),从而提高用户账户的安全性。传统的密码仅为一组静态信息,很容易被窃取,而导致账户被盗用,相对来说,因子认证比传统密码还多了一个认证步骤,并且一般来说认证因子会比传统密码更难破解、获取(具有时效性),引入因子认证虽然带来了一定复杂度,但提高了安全性。
uniapp totp算法
12-22
TOTP(Time-Based One-Time Password)是一种基于时间的一次性密码算法,用于生成动态密码。它是基于HOTP(HMAC-Based One-Time Password)算法的扩展,通过结合时间戳和密钥生成密码,以提供更高的安全性。 以下是使用uniapp实现TOTP算法的示例代码: ```javascript // 导入js库 import jsSHA from 'jssha'; // 生成TOTP密码 function generateTOTP(secretKey) { // 获取当前时间戳 const timestamp = Math.floor(Date.now() / 1000); // 将时间戳转换为8字节的大端字节数组 const timeBytes = new Array(8); for (let i = 7; i >= 0; i--) { timeBytes[i] = timestamp & 0xff; timestamp >>>= 8; } // 使用HMAC-SHA1算法计算哈希值 const shaObj = new jsSHA('SHA-1', 'ARRAYBUFFER'); shaObj.setHMACKey(secretKey, 'ARRAYBUFFER'); shaObj.update(new Uint8Array(timeBytes)); const hmac = shaObj.getHMAC('ARRAYBUFFER'); // 获取哈希值的最后一个字节 const offset = hmac[hmac.length - 1] & 0xf; // 从哈希值中截取4个字节作为动态密码 const otp = ( ((hmac[offset] & 0x7f) << 24) | ((hmac[offset + 1] & 0xff) << 16) | ((hmac[offset + 2] & 0xff) << 8) | (hmac[offset + 3] & 0xff) ) % 1000000; // 将动态密码转换为6位字符串 const otpString = otp.toString().padStart(6, '0'); return otpString; } // 使用示例 const secretKey = 'JBSWY3DPEHPK3PXP'; // 密钥 const totp = generateTOTP(secretKey); console.log('TOTP密码:', totp); ``` 请注意,上述代码中使用了`jssha`库来计算HMAC-SHA1哈希值。在使用之前,需要先安装该库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值