TOTP动态密码认证功能,让天下无贼!

最新推荐文章于 2024-06-13 16:45:30 发布
最新推荐文章于 2024-06-13 16:45:30 发布
阅读量5k 收藏 5
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cto_yf_hu/article/details/118764087
版权

      据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安全隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。
 

1、现行静态固定密码的缺陷 

1)自身不安全导致ID盗用

  • 自己不小心泄露或主动分享密码
  • 黑客入侵脱库,即使用户数据库加密,也可以离线破解
  • 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA
  • 黑客MITM抓包窃听

2)不方便导致用户友好性差 为对抗黑客攻击,需要提高密码质量,但又引出另外的问题

  • 密码复杂,不好记忆
  • 长期不用,忘记密码
  • 大量密码,必须用记事本记录,容易泄露
  • 强制定期修改密码,比较麻烦
  • 临时分享密码,过后还要修改密码
     

2、其它用户认证方式的局限性

  • USB Key认证需要额外的硬件,携带不方便;手机等缺少USB接口,需要转接线;虚拟机需要转接设备
  • 指纹虹膜人脸等生物认证需要硬件,投资大,扩展性不好,存在盗用复制伪造的可能性
  • SSH Key认证需要将客户端的公钥文件上传到服务器,需要上传接口或管理员代传,部署不方便
  • 量子密码可以感知是否被窃听,
最低0.47元/天 解锁文章
cto_yf_hu
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tick-authenticator::pager:RFC6238中指定的基于时间的一次性密码(TOTP)算法
03-19
滴答认证器 RFC 6238中指定的基于时间的一次性密码(TOTP)算法。 生活中我们会经常使用到TOTP的算法应用,如银行的动态密码器,网络游戏中的将军令,登录场景下的手机二次验证等等。 下图便是一个常见的TOTP动态密码生成器: 为了提高游戏账号的安全性我们在输入账号密码后,对于绑定了将军令的用户还需要输入将军令(OTP动态密码生成器)上面的一次性动态密码,验证通过后方才登陆成功。 TOTP的生成步骤 RFC4226中定义了生成HOTP的关键三个步骤 步骤1:生成HMAC-SHA-1值令HS = HMAC-SHA-1(K,C)// HS是一个20字节的字符串 步骤2:生成一个4字节的字符串(动态截断)令Sbits = DT(HS)//定义如下的DT返回一个31位的字符串 步骤3:计算HOTP值设Snum = StToNum(Sbits)//将S转换为0 ... 2 ^ {31} -
HOTP和TOTP动态密码JAVA示例源码.zip
04-13
总的来说,这个JAVA示例源码提供了一种实现HOTP和TOTP动态密码的方法,适用于Android平台,可以用于开发安全的密码认证系统,如密码门禁或其他需要安全登录的应用场景。通过学习和理解这个源码,开发者可以更好地...
基于时间的一次性密码 TOTP 详解
路多辛的所思所想
10-30 843
基于时间的一次性密码 TOTP(Time-Based One-Time Password),也被称为时间同步动态密码,是一种基于时间的一次性密码算法,通常用于两步验证和多因素身份验证,用于增强静态口令认证的安全性。TOTP 算法由互联网工程任务组 (IETF) 在 RFC 6238 中定义,是基于 HMAC (基于哈希的消息认证码) 的一次性密码算法 (HOTP) 的扩展,添加了一个时间因素。
安全开发:身份认证方案之 Google 身份验证器和基于时间的一次性密码 TOTP 算法
最新发布
Innocence_0的博客
06-13 1099
目前很多应用都逐步采用了双因子认证或者说MFA认证方案,因此本文介绍一下背后的机制和原理。使用TOTP算法,只要满足两个条件:1)基于相同的密钥;2)时钟同步;只需要事先约定好密钥,TOTP算法就可以保证校验段和被校验端具有相同的输出。
TOTP 算法实现:双因素认证的基石(C/C++代码实现)
chen1415886044的博客
05-26 779
双因素认证(Two-Factor Authentication, 2FA)扮演着至关重要的角色。它像是一道额外的防线,确保即便密码被窃取,不法分子也难以轻易突破。在众多双因素认证技术中,基于时间的一次性密码(Time-Based One-Time Password, TOTP)算法因其安全性高、使用便捷而受到广泛应用。 TOTP算法是一种基于时间的一次性密码生成算法,它的核心思想是利用时间作为变化的因子来生成动态密码。这种算法通常与用户的个人信息结合使用,如用户名或电子邮件地址,以及一个共享的秘密密钥。
双因子认证,TOTP动态口令认证
qq_41633199的博客
06-25 1644
TOTP:Time-based One-Time Password写,基于对称密钥与时间戳算法的一次性认证码。时间同步,基于客户端的动态口令和动态口令验证服务器的时间比对,默认每30秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。算法安全的核心在于密钥 , 每个人通过对应账户生成的密钥是不同的 . 当他们用同一个算法加密时 , 会生成不同的随机密码认证时客户端需要使用阿里身份宝,Goole 身份验证器等工具生成认证码。
TOTP算法实现二步验证
weixin_33785108的博客
06-24 2294
概念 TOTP算法(Time-based One-time Password algorithm)是一种从共享密钥和当前时间计算一次性密码的算法。 它已被采纳为Internet工程任务组标准RFC 6238,是Initiative for Open Authentication(OATH)的基石,并被用于许多双因素身份验证系统。 TOTP是基于散列的消息认证码(HMAC)的示例。 它使用加密哈希函...
github 2fa中国认证及TOTP App
lxw1844912514的博客
11-01 2329
推荐微软的authenticator,类似网易大神APP,每次打开都会生成一个动态验证码,用此验证码进行登录,在国内的应用商店中可以下载到或者从google play中下载。启用2FA之后,每次在不同设备上登录github都要输入验证码,浏览器插件可以生成验证码,但前提是需要先把帐号添加扩展中,换设备登录建议在手机上安装totp应用。切到github的设置- 安全页面,展示一个二维码,然后点击扩展上的扫描按钮,用鼠标选中github的二维码,即可添加github帐号。
java版本totp时钟动态离线密码源码demo
12-27
TOTP是一种一次性密码生成算法,基于当前时间戳生成短生命周期的动态密码。它通常与密钥一起使用,密钥存储在用户的设备上,服务器端保存密钥的哈希值。每次用户登录时,设备和服务器端都会使用相同的密钥和当前...
totp-c-1.0.zip
12-27
TOTP,全称为Time-Based One-Time Password(基于时间的一次性密码),是一种广泛应用于网络身份验证的安全机制。它采用哈希函数、时间戳和密钥来生成一次性的密码,每段时间(通常为30秒)内有效,提高了账户的安全...
易语言动态密码演示
07-22
3. 动态密码算法:选择合适的动态密码算法,如HMAC(Hash-based Message Authentication Code)或TOTP(Time-based One-Time Password)。易语言需要实现这些算法,将密钥和当前时间戳转化为一次性密码。 4. 用户...
HOTP-TOTP.PHP-开源
05-13
该工具可以基于HOTP(RFC 4226:HOTP:基于HMAC的一次性密码算法),TOTP(RFC 6238:TOTP:基于时间的一次性密码算法)和OCRA(RFC)创建一次性密码值6287:OCRA:OATH质询-响应算法)标准,并且还支持OAuth协议(1.0a,2.0)的客户端。
易语言动态密码演示源码.rar
03-20
动态密码的核心在于生成算法,常见的有时间同步式(TOTP)和事件同步式(HOTP)两种。TOTP基于当前时间生成密码,而HOTP则是基于计数器生成密码。在易语言中,我们可能需要使用到时间函数和哈希函数来实现这个功能。...
动态口令认证系统实验.rar
01-26
动态口令认证系统是一种安全的身份验证机制,常用于网络服务,如远程访问、网上银行、电子支付等场景,以提供比传统静态密码更强的安全性。它通常涉及到一个硬件或软件的令牌设备,该设备能够生成一次性的、随时间...
shared-2fa:与您的团队共享 TOTP密码管理器
05-29
该工具通过在 AWS SecureSystemManager 的参数存储中保存初始种子,帮助您与您的团队共享基于 TOTP 的虚拟 MFA 设备。 价钱 使用此工具可能不会为您产生任何 AWS 成本。 在 ParameterStore 中存储/获取参数是。 AWS...
php集成动态口令认证
12-19
为了在Thinkphp3.2.3框架中集成TOTP动态口令认证,我们需要添加一个OATH算法类,这个类通常包含了生成和验证动态口令的功能。以下是示例中的`oath.php`代码片段: ```php class Google2FA { const keyRegeneration...
登录GITHUB:Open your two-factor authenticator (TOTP) app or browser extension to view your authenticat
柳鲲鹏
04-30 5572
这明摆着就是欺负中国人不能用手机进行验证。
TOTP:Time-based One-time Password Algorithm(基于时间的一次性密码算法)
weixin_33976072的博客
05-01 189
TOTP:Time-based One-time Password Algorithm(基于时间的一次性密码算法) TOTP - Time-based One-time Password Algorithm is an extension of the HMAC-based One Time Password algorithm HOTP to support a time based mo...
Google身份验证器是一款TOTP与HOTP的两步验证软件令牌,此软件用于Google的认证服务
weixin_40191861的博客
08-11 525
是一款与的软件令牌,此软件用于的认证服务。此项服务所使用的算法已列于和中。Google身份验证器给予用户一个六位到八位的用于进行登录Google或其他站点时的附加验证。其同样可以给第三方应用生成口令,例如或。先前版本的Google身份验证器开放源代码,但之后的版本以专有软件的形式公开。
动态密码怎么用radius中的eap认证
04-26
动态密码通常是通过基于时间的一次性密码(TOTP)实现的。在radius中的eap认证中,TOTP可以与RSA SecurID结合使用,以增强安全性。 要使用动态密码进行radius认证,您需要首先在radius服务器上配置SecurID令牌,并设置SecurID验证作为radius的一种策略。然后,您需要在客户端上安装SecurID Token应用程序,并将其配置为使用您的令牌生成动态密码。 在eap认证期间,客户端向服务器发送用户名和动态密码,并使用SecurID令牌生成的动态密码进行身份验证。如果密码正确,服务器将接受认证并允许客户端访问网络资源。 请注意,以上只是一种实现动态密码的方法,并且与其他radius认证方法可能有所不同。具体实现方式应该根据您的环境和需求而定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值