动态令牌离线生成机制探究(2FA & TOTP)

最新推荐文章于 2024-07-18 14:37:07 发布
最新推荐文章于 2024-07-18 14:37:07 发布
阅读量2.9k 收藏 5
点赞数 1
分类专栏: web 文章标签: totp javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55030384/article/details/117906594
版权
本文介绍了动态令牌的离线生成机制,特别是2FA(双重因素认证)中的TOTP(基于时间的一次性口令)。通过阐述OTP的概念,HOTP的计数器原理,以及TOTP将计数器替换为时间戳的改进,展示了如何实现与谷歌身份验证器类似的验证过程。此外,还提供了在线测试资源以便读者实践。
摘要由CSDN通过智能技术生成

前言

也许你用过银行的密码器,以工商银行的网银电子密码器为例,它长这样:

a686c9177f3e67090bf289dc39c79f3df8dc5527

可能你以为它是会联网的,毕竟你只要输入转账页面给的一串数字,然后它就会生成一串六位数的一次性口令,你把它输入到转账页面的验证码中,你的钱就转出去了。

但是,实际上它是不联网的,你将它放入断网的地方它照样能生成一次性口令,这是如何运作的?

2FA

2FA,全称 Two Factor Authentication,中文名叫 双重因素认证,便是里面的核心技术。字面意来理解,双重因素认证,即认证需要用到两重因素。比如,你在银行 ATM 取钱的时候既要你的银行卡,也需要只有你才知道的六位数口令,这便是双重因素认证。

再以我们常见的手机验证码为例,它也是属于 2FA 的一种方式,比如,当你在进行敏感操作时(修改口令),首先你需要知道你的用户名,然后需要下发一条手机验证码到你的手机上,目的是为了验证你对手机的所有权,这也是属于双重因素认证的一种方式。

中国大陆由于实名制的关系,几乎所有网站注册都需要使用手机号,而国内用户也没有使用手机令牌的习惯,因此,国内最常见的 2FA 就是手机验证码。

但如果你注册国外的网站,比如 GitHub,你可以选择使用手机令牌,使用到的技术叫做 TOTP(Time-based One-time Password,中文名:基于时间的一次性口令),简单来说就是,当你将你的账户和验证软件绑定之后,在一定时间内,验证软件会生成一串数字(一般是六位数),你将这串数字输入到目标网站,即可完成认证,以谷歌身份验证器为例,它长这样:

v2-bcae061a350a128074d0b41e4db120c3_720w

你需要使用摄像头扫描网站给你提供的二维码,然后它会自动为你存储相关信息,然后就可以开始为你生成验证码了,这个验证码每 30 秒刷新一次,过时即失效。

OTP

上文提到了 TOTP,但是要想理解 TOTP,首先得明白 OTP(One-Time Password,中文名:一次性口令)。正如字面意,他是只能使用一次的口令。对于 OTP,没有特定的算法,但是要求必须是一次性、不可预测 ,一般为了用户输入方便,会使用四位、六位或八位数字。

常见的应用场景还是手机验证码,另外就是最近刚高考完,以湖南省为例,学校会给学生下发一张小卡片用于修改志愿表。上面有 20 条刮刮乐,每一条都对应一个一次性口令,当你将你填报志愿的账户与该卡片绑定(卡片上会有卡号)时,在你每次要进行志愿保存时,均需要提供一条口令,用一次即失效。本质上这也是 2FA,这次你需要提供的是你的志愿填报网站的账号密码一次性口令

image-20210614114821556

所以,在你被正式录取之前,千万不要泄露这张卡片,否则如果他人已经知道了你的账号密码,你的志愿便可以被他人随意修改。

HOTP

RFC4226

明白了 OTP,接下来还需要理解 HOTP(HMAC-based One-Time Password,中文名:基于哈希消息认证码的一次性口令)。它也属于一次性口令,但是生成这个一次性口令,还另外需要提供一串密钥一个随机数,用于生成口令。

它的英文名中有一个词,叫做 HMAC(Hash-based Message Authentication Code,中文名:基于哈希的消息认证码),这个算法主要是用于验证消息的合法性,与常见的哈希算法的唯一区别是,在计算哈希摘要时,还需要额外提供一串密钥,俗称加盐(salt 或 nonce)。一言蔽之:使用一串只有你自己(或双方)才知道的密钥,可以生成一串独一无二的哈希值。

在 HOTP 的应用中,这串密钥只有客户端和服务端双方才知道,被计算摘要的消息要求双方都能知道并保持相同,一般是一个自增计数器,比如:0, 1, 2, 3, 4。被计算出的一次性口令每使用一次,这个计数器就加一,由于密钥只有双方才知道,故双方都可以计算出一样的一次性口令,而第三方不知道这串密钥的,无法计算出一样的口令。

另外这里有个坑,根据 RFC4226#section-5.1 规定,这个计数器必须为一个 8-byte 的整数,即 Int64,高位字节若不足应填充 0x00,这也是我初期研究该算法一直失败的原因之一。

RFC 规定哈希算法使用 HMAC-SHA1,假设密钥为:K='6shyg3uens2sh5slhey3dmh47skvgq5y'

最低0.47元/天 解锁文章
摸鱼Script
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
mintotp:使用20行Python的最小TOTP生成
02-06
MinTOTP MinTOTP是用Python编写的最小的TOTP生成器。 内容 介绍 TOTP代表基于时间的一次性密码。 许多网站和服务需要两因素身份验证(2FA)或多因素身份验证(MFA),其中要求用户提供两个或更多证据: 只有用户知道的内容,例如密码,密码短语等。 只有用户拥有的东西,例如硬件令牌,手机等。 例如,只有用户才可以使用生物识别。 TOTP值用作第二个因素,即,它证明用户拥有包含TOTP秘密密钥的设备(例如,移动电话),并从中生成TOTP值。 通常,提供用户帐户的服务提供商还会发布一个加密为Base32字符串或QR码的密钥。 此密钥被添加到移动设备上的身份验证器应用
token-generator:离线令牌生成器和验证器
06-15
令牌生成离线令牌生成器和验证器 它是什么,它有什么作用? 它工作在一个动态变量之上,一个过期的时间戳。 我们简单地从中创建两个字符串:一个哈希部分和一个混淆的时间戳,然后将它们连接成一个字符串,瞧,我们有一个令牌! 每次调用.generate都会生成不同的令牌,因为过期时间戳总是在变化。 在您的服务器到达令牌的到期时间戳之前,它们将始终有效,即使在不同的进程或不同的节点上,因为您在它们之间共享完全相同的配置。 看起来很复杂? (如果没有,你真的应该深入研究并帮助我们做得更好) 我为什么要使用它? 它是开源的,可以免费使用; 你可以为它做出贡献; 它是可扩展的,因为它建立在之上; 您不必维护数据库表等数据源来存储令牌,每个令牌都带有自己的检查; 它是安全的,您可以通过提供自己的哈希方法来提高安全性; 我们也在使用它,如果我们相信它,你也应该这样做! 安装 np
在线TOTP工具,支持Github双2FA验证,无需下载任何应用
最新发布
yunmoon的博客
07-18 539
在线OTP动态口令生成器,安全便捷登录验证,为账户提供额外保护。使用动态口令技术,每次登录生成唯一一次性密码,防止恶意攻击和盗号。简单易用,输入用户名和密钥,系统支持自动生成6和8位动态口令。无需安装软硬件,访问网站或使用移动应用即可获取。
双因素认证(2FA)工作原理简介
weixin_34365417的博客
01-25 1361
什么是双因素认证(Two-factor authentication,简称 2FA)双因素身份认证就是:通过你所知道再加上你所能拥有的,这二个要素组合到一起才能发挥作用的身份认证系统。双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密...
令牌同步模式
Leon_Jinhai_Sun的博客
05-22 397
这是目前主流的 CSRF 攻击防御方案。具体的操作方式就是在每一个 HTTP 请求中,除了默认自动携带的 Cookie 参数之外,再提供一个安全的、随机生成的宇符串,我们称之为 CSRF 令牌。这个 CSRF 令牌由服务端生成生成后在 HtpSession 中保存一份。当前端请求到达后,将请求携带的 CSRF 令牌信息和服务端中保存的令牌进行对比,如果两者不相等,则拒绝掉该 HITTP 请求。 注意: 考虑到会有一些外部站点链接到我们的网站,所以我们要求请求是幂等的,这样对子HEAD、OPTIONS、
了解2FA
月来better
03-03 1433
2FA,2 Factor Authentication,双因子验证,是一种安全密码验证方式。 区别于传统的密码验证,由于传统的密码验证是由一组静态信息组成,如:字符、图像、手势等,很容易被获取,相对不安全。2FA是基于时间、历史长度、实物(信用卡、SMS手机、令牌、指纹)等自然变量结合一定的加密算法组合出一组动态密码,一般每60秒刷新一次。不容易被获取和破解,相对安全。 双因子验证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。这种方法已经为企
【IoT】加密与安全:双因素认证(2FA):TOTP
产品线负责人
05-25 3527
认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤。密码是最常见的认证方法,但是不安全,容易泄露和冒充。 基于安全认证,很多场景要求启用双因素认证(Two-factor authentication,简称 2FA)。 1、什么是双因素认证 一般有三种不同类型的证据可以证明一个人的身份。 1) 秘密信息 只有该用户知道、其他人不知道的某种信息,比如密码。 ...
java版本totp时钟动态离线密码源码demo
12-27
总的来说,这个Java TOTP源码Demo是学习和应用安全验证的一个宝贵资源,对于理解和实现基于时间的一次性密码机制非常有帮助。通过深入研究和实践,开发者可以掌握这个强大工具,并将其应用于各种需要增强安全性的...
mfa:使用CLI生成TOTP(基于时间的一次性密码)令牌
05-21
使用CLI生成TOTP(基于时间的一次性密码)令牌。 安装 从下载。 解压缩并移至PATH目录。 配置 默认配置文件为$HOME/.mfa/secrets.yml或$HOME/.mfa/secrets.yaml 。 service : - name : amazon secret : " your...
shared-2fa:与您的团队共享 TOTP 的密码管理器
05-29
共享 2fa 有时,您拥有与团队共享的网站帐户,以便每个人都可以使用它,但仍希望启用 2FA 以增强安全性。 该工具通过在 AWS SecureSystemManager 的参数存储中保存初始种子,帮助您与您的团队共享基于 TOTP 的虚拟 ...
KeeTrayTOTP:用于KeePass2的纸盘TOTP插件
05-12
这是KeePass2的Tray TOTP插件的分支。 最初由开发。 原始源代码和插件可以在上找到。 大多数消费者TOTP使用RFC6238输出样式,可悲的是,一些公司(例如Valve)决定不遵守该标准,而是建立自己的格式。 对于Steam ...
2FA双因子认证之OTP算法
分享各种技术
01-24 1586
2FA双因子认证之OTP算法 概述 2 Factor Authentication简称2FA,双因子认证是一种安全密码验证方式。区别于传统的密码验证,由于传统的密码验证是由一组静态信息组成,如:字符、图像、手势等,很容易被获取,相对不安全。2FA是基于时间、历史长度、实物(信用卡、SMS手机、令牌、指纹)等自然变量结合一定的加密算法组合出一组动态密码,一般每60秒刷新一次。不容易被获取和破解,相对安全。 TOTP/HOTP作为其中的一种(实际是两种,不过其中一个是变种,这里当作一种)算法,目前已经用于
双因素认证(2FA
易之阴阳,量子纠缠,道之一体,缘起性空
04-21 451
双因素认证(Two-Factor Authentication, 2FA)是一种增强的安全验证机制,旨在通过要求用户提供两种不同类型的凭证来确认其身份,从而提高账户或系统访问的安全性。- 用户通过拥有型因素(如打开身份验证应用获取OTP,查看接收到的短信验证码,或使用硬件令牌生成密码)或生物特征因素(如扫描指纹、进行面部识别)提供第二重凭证。- 硬件令牌:如RSA SecurID、YubiKey等专用硬件设备,能够生成动态的一次性密码(One-Time Password, OTP)。
2FA的原理与应用
逍遥避世者的博客
06-18 605
2FA(Two-Factor Authentication,双因素认证)就是一种账号保护措施,在用户登录时额外添加一层认证步骤,以加强账号的安全性。双因素认证中的第一个因素是“你知道的”,比如账号密码,而第二个因素是“你拥有的”,比如手机短信验证码。如果账号是单因素认证的,也就是只通过账号密码就可以登录账号的话,那么一旦账号密码被泄露了,则账号也就被其他人登录了。
双因素认证(2FA)的技术实现
易之阴阳,量子纠缠,道之一体,缘起性空
04-21 526
用户端可能使用密码管理器来帮助生成和存储复杂的密码。综上所述,双因素认证的技术实现融合了密码学、时间同步算法、通信技术、生物识别技术以及与第三方服务的集成,共同构建起一道多层次的身份验证防线,显著提升了账户的安全性。服务端接收用户输入的用户名和密码,通过哈希函数(如bcrypt、scrypt或Argon2)对存储的哈希值与用户输入密码的哈希值进行比较,确认密码是否正确。- TOTP验证:服务端生成或接收用户提交的TOTP验证码,使用与用户端相同的算法和共享密钥计算预期的验证码,对比两者是否一致。
兩步验证的原理
wanf425的专栏
07-10 2802
被盗号 “您的账号密码有误,请重新输入” 小卢盯着电脑屏幕看了5分钟,心里纳闷,昨天还能登录,怎么今天就密码错误了,难不成我被盗号了?想到这里,小卢赶紧给自己的程序员好友小王打电话。 小卢:“小王,我在XX网站的账号被盗了!” 小王:“确定被盗了?赶紧把密码找回来。还有,你在其它网站的账号有没有被盗?“ 小卢:“试过了,账号密码是一样的,好多都登录不上……” 小王:“哎,事到如今,只能...
趣谈双端离线状态下的授权认证实现
Sunwish的博客
05-26 2715
概述 昨天 Anduin 在直播时讨论了一个相当有意思的话题,即在客户端和服务端均处于离线状态,且双端之间没有任何数据交换的情况之下,如何实现客户端对服务端的临时授权。其实类似的授权机制在生活中就有案例,比如我手机上的Steam令牌应用自登录以来就从来没连上网过,但是令牌中的动态密码却能够正确地完成电脑端Steam的身份认证,不过这里电脑端的Steam还是连接了网络进行验证的。本文来尝试探讨一种双端均处于离线状态场景的临时认证办法。因为没有查阅相关资料做参考,因此本文最终的系统不一定足够完美。 原文链接:
动态密码算法介绍与实现
weixin_33757609的博客
02-18 1832
动态密码,亦称一次性密码(One Time Password, 简称 OTP),是一种高效简单又比较安全的密码生成算法,在我们的生活以及工作中随处可见,身为开发者,也或多或少在自己的业务系统中集成了二步验证机制,那么,技术运用,既要知其然,更要知其所以然,动态密码算法是怎样的? 读前指引 通过这篇文章,你可以了解以下知识: 动态密码...
tpm2-totp怎么安装
04-30
tpm2-totp是一个基于TPM(Trusted Platform Module)的一次性密码生成器。要安装tpm2-totp,可以按照以下步骤进行操作: 1. 首先,确保你的系统已经安装了TPM驱动和相关的软件包。你可以通过运行`tpm2_getrandom`命令来检查TPM是否可用。 2. 接下来,你需要安装tpm2-tss(TPM Software Stack)和tpm2-tools。这些软件包提供了与TPM进行交互的工具和库。你可以使用包管理器来安装它们,例如在Ubuntu上可以使用以下命令: ``` sudo apt-get install tpm2-tss tpm2-tools ``` 3. 安装完tpm2-tss和tpm2-tools后,你可以从tpm2-totp的GitHub仓库中获取源代码。你可以使用git命令进行克隆: ``` git clone https://github.com/tpm2-software/tpm2-totp.git ``` 4. 进入克隆下来的tpm2-totp目录,并执行以下命令来编译和安装tpm2-totp: ``` cd tpm2-totp make sudo make install ``` 5. 安装完成后,你可以使用`tpm2-totp`命令来生成一次性密码。具体的使用方法可以参考tpm2-totp的文档或者使用`tpm2-totp --help`命令查看帮助信息。 希望以上步骤对你有帮助!
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值