如何使用Microsoft或Google Authenticator添加多重身份验证

最新推荐文章于 2025-02-07 23:15:00 发布
最新推荐文章于 2025-02-07 23:15:00 发布
阅读量1.9k 收藏
点赞数
分类专栏: CSharp.NET 安全 文章标签: microsoft
原文链接:https://www.codeproject.com/Tips/5384961/How-to-add-a-Multifactor-Authentication-using-Micr
版权

目录

介绍

背景

注册二维码

Base32编码器/解码器:

移动应用程序允许您向Microsoft/Google或任何其他TOTP身份验证器应用程序(通过专门生成的二维码)注册您的帐户。成功注册后,验证器应用程序将每30秒生成一个新代码,该代码可用于实现基于MFA的登录。要使其成为完整的MFA,需要将PIN作为前缀添加到应用程序生成的代码中。登录密码或称为密码的人将是PIN+代码。

介绍

基于时间的一次性密码算法(RFC-6238TOTP——基于HMAC的一次性密码算法)的令牌,由MicrosoftGoogle Authenticator移动应用程序等实现。移动应用程序允许您向Microsoft/Google或任何其他TOTP身份验证器应用程序(通过专门生成的二维码)注册您的帐户。成功注册后,验证器应用程序将每30秒生成一个新代码,该代码可用于实现基于MFA的登录。要使其成为完整的MFA,需要将PIN作为前缀添加到应用程序生成的代码中。登录密码或称为密码的人将是PIN +代码。

GitHub存储库

测试部署

背景

为了保护对任何C#JavaC++WindowsLinuxWeb或普通应用程序的访问,MFA是最佳且简单的选择,无需创建您自己的自定义移动应用程序。它完成了场景,即你知道的东西和你拥有的东西。在这里,您知道的是您的PIN,您拥有的是您的移动应用程序和由 Microsoft Authenticator 等身份验证器移动应用程序强制执行的生物功能。

注册二维码

身份验证器应用程序(MicrosoftGoogle)遵循一个标准。但是,只有Google定义了向Authenticator应用程序注册帐户所需的 URI和参数

从逻辑上讲,第一步是能够生成QR码,以便向身份验证器应用程序注册所需的用户。这里的神奇成分是TOTP种子、用户所属的公司/Web应用程序以及用户的UPN或电子邮件地址。

下面的代码使用GUID生成种子(我使用GUID,因为重新生成同一GUID的几率是20亿分之一):

/**
* Converts Hex string to Unsigned Bytes (0 to 256)
*/
public static Byte[] HexToByte(string hexStr)
{
    byte[] bArray = new byte[hexStr.Length / 2];
    for (int i = 0; i < (hexStr.Length / 2); i++)
    {
        byte firstNibble = Byte.Parse(hexStr.Substring((2 * i), 1), System.Globalization.NumberStyles.HexNumber); // [x,y)
        byte secondNibble = Byte.Parse(hexStr.Substring((2 * i) + 1, 1), System.Globalization.NumberStyles.HexNumber);
        int finalByte = (secondNibble) | (firstNibble << 4); // bit-operations only with numbers, not bytes.
        bArray[i] = (byte)finalByte;
    }
    return bArray;
}

/*
 * Generates GUID as a string and remove brackets
 */
public static string getNewId()
{
    string sR = Guid.NewGuid().ToString().ToUpper();
    sR = sR.Replace("{", "");
    sR = sR.Replace("}", "");
    return sR;
}

/*
 * Generates the QR code for authenticator as a base64 encoded svg image
 * You must use something like
 * <img runat="server" id="qrCode" name="qrCode" src="javascript:" alt="Scan this QR code with your mobile application" style="height:300px;width:300px"/>
 */
private void generateQRCode()
{
    //create new key based on hash to be used
    string seed = getNewId() + getNewId();
    seed = seed.Replace("-", "");
    seed = seed.Substring(0, 40);

    byte[] byteSeed = HexToByte(seed);


    //Must save this seed to be able to validate the TOTP
    var KeyString = Base32.ToBase32String(byteSeed);

    string orgDomain = "elogic.synology.me";
    string orgName = "eLogic Builders Inc.";
    string userUPN = "Kashif" + '@' + orgDomain;

    const string AuthenticatorUriFormat = "otpauth://totp/{0}:{1}?secret={2}&issuer={0}&algorithm=SHA1&digits=6&period=30";

    string tokenURI = string.Format(
        AuthenticatorUriFormat,
        HttpUtility.UrlEncode(orgDomain),
        HttpUtility.UrlEncode(userUPN),
        KeyString);


    var qr = QrCode.EncodeText(tokenURI, QrCode.Ecc.High);

    string base64EncodedImage = Convert.ToBase64String(Encoding.UTF8.GetBytes(qr.ToSvgString(4)));

    string imageSrc = "data:image/svg+xml;base64," + base64EncodedImage;

    //Assign image here in your ASP application
    //this.qrCode.Src = imageSrc;
}

必须保存KeyStringTOTP种子)并将其链接到正在验证的用户。相同的种子将用于验证用户输入的TOTP。为了生成QR码,我使用了Net.Codecrete.QrCodeGenerator nuget.org包。这有利于在WindowsLinux上生成QR码(使用Mono框架)。您可以使用适合您应用程序的其他实现。

以下是我用于发送注册的注册链接示例:

当用户点击链接时,QR码生成和注册序列将启动。以下是呈现给用户的内容:

用户使用MicrosoftGoogle或任何其他符合RFC-6238标准的TOTP身份验证器应用程序扫描QR码。应用程序应注册种子和用户的UPN,并应开始生成TOTP

使用下面的 RFC-6238 兼容类,您可以验证生成的TOTP(它是经过少量修改的Microsoft代码示例版本):

using System;
using System.Diagnostics;
using System.Net;
using System.Security.Cryptography;
using System.Text;


class SecurityToken
{
    private readonly byte[] _data;

    public SecurityToken(byte[] data)
    {
        _data = (byte[])data.Clone();
    }

    internal byte[] GetDataNoClone()
    {
        return _data;
    }
}

public static class Rfc6238AuthenticationService
{
    private static readonly DateTime _unixEpoch = new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc);
    private static readonly TimeSpan _timestep = TimeSpan.FromMinutes(3);
    private static readonly Encoding _encoding = new UTF8Encoding(false, true);

    public static int ComputeTotp(HashAlgorithm hashAlgorithm, ulong timestepNumber, string modifier)
    {
        // # of 0's = length of pin
        const int mod = 1000000;

        // See https://tools.ietf.org/html/rfc4226
        // We can add an optional modifier
        var timestepAsBytes = BitConverter.GetBytes(IPAddress.HostToNetworkOrder((long)timestepNumber));
        var hash = hashAlgorithm.ComputeHash(ApplyModifier(timestepAsBytes, modifier));

        // Generate DT string
        var offset = hash[hash.Length - 1] & 0xf;
        Debug.Assert(offset + 4 < hash.Length);
        var binaryCode = (hash[offset] & 0x7f) << 24
                         | (hash[offset + 1] & 0xff) << 16
                         | (hash[offset + 2] & 0xff) << 8
                         | (hash[offset + 3] & 0xff);

        return binaryCode % mod;
    }

    private static byte[] ApplyModifier(byte[] input, string modifier)
    {
        if (String.IsNullOrEmpty(modifier))
        {
            return input;
        }

        var modifierBytes = _encoding.GetBytes(modifier);
        var combined = new byte[checked(input.Length + modifierBytes.Length)];
        Buffer.BlockCopy(input, 0, combined, 0, input.Length);
        Buffer.BlockCopy(modifierBytes, 0, combined, input.Length, modifierBytes.Length);
        return combined;
    }

    // More info: https://tools.ietf.org/html/rfc6238#section-4
    private static ulong GetCurrentTimeStepNumber()
    {
        var delta = DateTime.UtcNow - _unixEpoch;
        return (ulong)(delta.Ticks / _timestep.Ticks);
    }

    private static int GenerateCode(SecurityToken securityToken, string modifier = null)
    {
        if (securityToken == null)
        {
            throw new ArgumentNullException("securityToken");
        }

        // Allow a variance of no greater than 9 minutes in either direction
        var currentTimeStep = GetCurrentTimeStepNumber();
        using (var hashAlgorithm = new HMACSHA1(securityToken.GetDataNoClone()))
        {
            return ComputeTotp(hashAlgorithm, currentTimeStep, modifier);
        }
    }

    private static bool ValidateCode(SecurityToken securityToken, int code, string modifier = null)
    {
        if (securityToken == null)
        {
            throw new ArgumentNullException("securityToken");
        }

        // Allow a variance of no greater than 9 minutes in either direction
        var currentTimeStep = GetCurrentTimeStepNumber();
        using (var hashAlgorithm = new HMACSHA1(securityToken.GetDataNoClone()))
        {
            for (var i = -2; i <= 2; i++)
            {
                var computedTotp = ComputeTotp(hashAlgorithm, (ulong)((long)currentTimeStep + i), modifier);
                if (computedTotp == code)
                {
                    return true;
                }
            }
        }

        // No match
        return false;
    }
}

以下是可用于验证生成的TOTP的函数:

   public bool CheckTimeBasedOTP_Rfc6238(byte[] byteSeed, string incomingOTP)
    {
        bool bR = false;
        int IntIncomingCode = int.Parse(incomingOTP);

        var hash = new HMACSHA1(byteSeed);
        var unixTimestamp = Convert.ToInt64(Math.Round((DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0)).TotalSeconds));
        var timestep = Convert.ToInt64(unixTimestamp / 30);
        // Allow codes from 90s in each direction (we could make this configurable?)
        for (long i = -2; i <= 2; i++)
        {
            var expectedCode = Rfc6238AuthenticationService.ComputeTotp(hash, (ulong)(timestep + i), modifier: null);
            if (expectedCode == IntIncomingCode)
            {
                bR = true;
                break;
            }
        }

        return bR;
    }

byteSeed是一个字节数组,您可以从Base32编码和保存的种子转换而来。

Base32编码器/解码器:

using System;
using System.Collections.Generic;
using System.Text;
using System.Text.RegularExpressions;

public static class Base32
{
    private static readonly char[] _digits = "ABCDEFGHIJKLMNOPQRSTUVWXYZ234567".ToCharArray();
    private const int _mask = 31;
    private const int _shift = 5;

    private static int CharToInt(char c)
    {
        switch (c)
        {
            case 'A': return 0;
            case 'B': return 1;
            case 'C': return 2;
            case 'D': return 3;
            case 'E': return 4;
            case 'F': return 5;
            case 'G': return 6;
            case 'H': return 7;
            case 'I': return 8;
            case 'J': return 9;
            case 'K': return 10;
            case 'L': return 11;
            case 'M': return 12;
            case 'N': return 13;
            case 'O': return 14;
            case 'P': return 15;
            case 'Q': return 16;
            case 'R': return 17;
            case 'S': return 18;
            case 'T': return 19;
            case 'U': return 20;
            case 'V': return 21;
            case 'W': return 22;
            case 'X': return 23;
            case 'Y': return 24;
            case 'Z': return 25;
            case '2': return 26;
            case '3': return 27;
            case '4': return 28;
            case '5': return 29;
            case '6': return 30;
            case '7': return 31;
        }
        return -1;
    }

    public static byte[] FromBase32String(string encoded)
    {
        if (encoded == null)
            throw new ArgumentNullException(nameof(encoded));

        // Remove whitespace and padding. Note: the padding is used as hint 
        // to determine how many bits to decode from the last incomplete chunk
        // Also, canonicalize to all upper case
        encoded = encoded.Trim().TrimEnd('=').ToUpper();
        if (encoded.Length == 0)
            return new byte[0];

        var outLength = encoded.Length * _shift / 8;
        var result = new byte[outLength];
        var buffer = 0;
        var next = 0;
        var bitsLeft = 0;
        var charValue = 0;
        foreach (var c in encoded)
        {
            charValue = CharToInt(c);
            if (charValue < 0)
                throw new FormatException("Illegal character: `" + c + "`");

            buffer <<= _shift;
            buffer |= charValue & _mask;
            bitsLeft += _shift;
            if (bitsLeft >= 8)
            {
                result[next++] = (byte)(buffer >> (bitsLeft - 8));
                bitsLeft -= 8;
            }
        }

        return result;
    }

    public static string ToBase32String(byte[] data, bool padOutput = false)
    {
        return ToBase32String(data, 0, data.Length, padOutput);
    }

    public static string ToBase32String(byte[] data, int offset, int length, bool padOutput = false)
    {
        if (data == null)
            throw new ArgumentNullException(nameof(data));

        if (offset < 0)
            throw new ArgumentOutOfRangeException(nameof(offset));

        if (length < 0)
            throw new ArgumentOutOfRangeException(nameof(length));

        if ((offset + length) > data.Length)
            throw new ArgumentOutOfRangeException();

        if (length == 0)
            return "";

        // SHIFT is the number of bits per output character, so the length of the
        // output is the length of the input multiplied by 8/SHIFT, rounded up.
        // The computation below will fail, so don't do it.
        if (length >= (1 << 28))
            throw new ArgumentOutOfRangeException(nameof(data));

        var outputLength = (length * 8 + _shift - 1) / _shift;
        var result = new StringBuilder(outputLength);

        var last = offset + length;
        int buffer = data[offset++];
        var bitsLeft = 8;
        while (bitsLeft > 0 || offset < last)
        {
            if (bitsLeft < _shift)
            {
                if (offset < last)
                {
                    buffer <<= 8;
                    buffer |= (data[offset++] & 0xff);
                    bitsLeft += 8;
                }
                else
                {
                    int pad = _shift - bitsLeft;
                    buffer <<= pad;
                    bitsLeft += pad;
                }
            }
            int index = _mask & (buffer >> (bitsLeft - _shift));
            bitsLeft -= _shift;
            result.Append(_digits[index]);
        }
        if (padOutput)
        {
            int padding = 8 - (result.Length % 8);
            if (padding > 0) result.Append('=', padding == 8 ? 0 : padding);
        }
        return result.ToString();
    }
}

https://www.codeproject.com/Tips/5384961/How-to-add-a-Multifactor-Authentication-using-Micr

多重身份验证:保护数字生活的防线
xueyunshengling的博客
09-25 492
在数字时代,安全性成为了人们越来越关注的话题。随着网络攻击和数据泄露事件的不断增加,单一的密码已经无法提供足够的保护。多重身份验证(Multi-Factor Authentication, MFA)作为一种有效的安全措施,正在被越来越多的组织和个人所采用。本文将深入探讨多重身份验证的概念、工作原理、实施方法及其在现实生活中的应用,帮助读者更好地理解和实现这一安全措施。多重身份验证是一种安全措施,通过要求用户在登录时提供两个多个身份验证因素,大大提高了安全性。
如何在 ASP.NET MVC 项目中使用身份验证器应用程序实现多因素身份验证?
技术探索驿站
07-10 1139
增强安全性对于任何应用程序都至关重要,而多因素身份验证 (MFA) 是实现此目标的有效方法。在本文中,我们将介绍在 ASP.NET MVC 项目中使用身份验证器应用程序集成 MFA 的过程。无论您是从头开始还是将 MFA 添加到现有项目,本指南都将提供清晰的分步说明,以帮助您保护应用程序免受未经授权的访问。从设置项目到实现登录方法和生成二维码,我们将介绍创建强大身份验证系统所需的一切。
无需同步,即开即用!10分钟搭建一个在线二步验证器——2FAuth |谷歌验证器(Google Authenticator)替代品
RRiddle的博客
11-08 6023
这期我们来聊一聊二步验证。双重认证Two-factor authentication,缩写为2FA,又称为双重验证、双因子认证、双因素认证,也有叫两步验证2-Step Verification,是多重要素验证中的一个特例,使用两种不同的元素,基于时间随机生成一串验证码用于和服务器验证的技术,来确认用户的身份。(类似之前网易的将军令和银行的电子令牌)强烈建议每个人都用二步验证!
microsoft authenticator 华为等手机无谷歌框架使用方法
热门推荐
qq_42732137的博客
07-14 4万+
很多微软应用都强制要求使用microsoft authenticator。但是诸如华为等无谷歌框架的手机无法安装此应用。这里给出一个解决办法。 关键字:模拟器 解决方法 本方法使用电脑模拟器安装microsoft authenticator。 1、模拟器安装谷歌框架。谷歌框架使用kk谷歌助手安装,该程序一般模拟器自带。 2、下载安装microsoft authenticator的akp。建议网上搜索下载。 3、使用二维码扫码注册。 如遇microsoft authenticator推送注册失败问题,可以选择
【GitHub】GitHub 2FA 双因素认证 ( 使用 Microsoft Authenticator 应用进行二次验证 )
最新发布
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
02-07 1906
一、GitHub 的 2FA 双因素认证 二、使用 Microsoft Authenticator 应用进行二次验证 1、TOTP 应用 2、下载 Microsoft Authenticator 应用 3、安装使用 Authenticator 应用 三、恢复码重要性
googleAuthenticator windows
03-17
googleAuthenticator windowsgoogleAuth winAuth win10版 谷歌双向认证win版程序
win系统接入google_auth实现动态密码,加强保护
不会处理故障的运维不是好程序员,WX:li669216072 只帮忙协助博客所遇到的类似问题
09-19 495
首先云服务器启用了远程访问,虽然更换了端口以及初始用户名,不过还是是不是被进行爆破,为了提高安全,登录密码改为动态密码,每30秒更换一次密码,安全性能更好的提升。配置也很简单,直接把脚本设置成开机启动,启动后常驻后台,前提是杀毒软件放过白名单,不然被杀了导致密码失效,项目有风险,不会用PE更改密码的用户,请不要尝试使用。动态密码采用python开发,由于谷歌的动态密码是纯数字,再提高点安全性,添加点属于自己的后缀名拼接成一个强密码。每次使用时,打开手机的google身份认证,根据动态密码进行登录。
谷歌身份验证器的使用超详细步骤
weixin_48974246的博客
11-01 3万+
谷歌身份验证器Google Authenticator是谷歌推出的一款动态口令工具,解决大家各平台账户遭到恶意攻击的问题,一般在相关的服务平台登陆中除了用正常用户名和密码外,需要再输入一次谷歌认证器生成的动态口令才能验证成功,相当于输入二次密码,以达到账户的高安全性。例如交易所、金融平台、以及一些钱包等项目等等,都会使用谷歌身份验证器Google Authenticator来做二次认证,开启谷歌身份验证之后,登录账户,除了输入用户名和密码,还需要输入谷歌验证器上的动态密码。4.4.扫描生成的二维码,即可。
使用C++实现谷歌身份验证器(Google Authenticator
houk0910的博客
07-07 1748
使用C++实现谷歌身份验证器(Google Authenticator) 本机环境: windows10 x64位运行环境 1、进入网站:http://slproweb.com/products/Win32OpenSSL.html 下载 openssl 库 因为本机电脑是 win10 64位版本,所以要下载 openssl 的 64 位 2、将该程序安装到 c:\OpenSSL-Win64 目录下,安装完毕后的文件结构为: 3、openssl 的头文件路径为:C:\OpenSSL-Win64\incl
谷歌账户二次验证_为您的Google帐户和Microsoft帐户设置双重身份验证
cunfuteng7334的博客
10-09 5365
谷歌账户二次验证I use Two-Factor Authentication for my Google Apps account and I use the Google Authenticator application on my iPhone to generate the second factor. 我对我的Google Apps帐户使用了双重身份验证,并且在iPhone上使用了Go...
OpenVPN配置Google Authenticator MFA认证
qq_23045563的博客
11-14 873
安装openvpn-plugin-auth-pam插件,下载对应版本的openvpn源码。#安装Google authenticator。#执行adduser.sh脚本,后面加上用户名。#配置openvpn 增加auth插件。#创建google auth目录。#进入创建openVPN文件夹。完成后重启openVPN。一:安装并配置认证模块。
googleAuthenticator windows版1.5版
03-18
googleauth 动态密码win版 googleauthenticator windows版 winauth win10版
Google Authenticator windows client 谷歌身份验证器 windows 电脑端
张圣晨的博客
07-20 8872
谷歌身份验证器现在有安卓客户端和ios客户端,本人开发了一个windows客户端,基于 .NETFramework v4.7 开发,已在 github 上开源,可以在 github 上直接下载。 github地址: https://github.com/katanala/GoogleAuthPcClient ...
【Freeradius】使用Freeradius、LDAP和Google Authenticator实现双因素身份验证
u012153104的博客
10-08 3584
随着网络安全威胁的增加,传统的用户名和密码已经变得不再安全。为了加强网络访问的安全性,双因素身份验证成为了一种流行且有效的解决方案。在本文中,我们将介绍如何在已有的Windows AD环境下,在Ubuntu 22.04上安装和配置Freeradius和Google Authenticator来实现双因素身份验证,来提供网络访问服务器认证、授权和帐户信息。
六种Web身份验证方法比较和Flask示例代码
xfxuezhang.cn
05-13 1万+
很详细,值得收藏!
快速接入Google双因素认证Google Authenticator
weixin_42144712的博客
08-01 1193
下载手机端App:谷歌的Google Authenticator者微软的Microsoft Authenticator
使用google authenticator打造运维平台的动态口令
netsec_steven的博客
11-23 8893
otp是什么知道么?  是一次性密码,简单的说,totp是基于时间的,htop是基于次数的。 Google Authenticator这个开源的项目实现了基于时间的一次一密算法,也就是Time-based One-time Password (TOTP),这个是客户
谷歌身份验证器(Google Authenticator)的使用详情
weixin_43486863的博客
11-08 4万+
谷歌身份验证器(Google Authenticator) 前言 Google Authenticator,是谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题;许多安全性比较高的网站都会采用这种工具来验证登录者交易;这个动态口令就是Google身份验证器每隔30s会动态生成一个6位数的数字。它的作用是:对你的账号进行“二步验证”保护,者说做一个双重身份验证,来达到提升安...
Google Authenticator(谷歌身份验证器)C#版
LYBWWP
10-31 3789
Google Authenticator(谷歌身份验证器) 什么是认证器?怎么对接? Google Authenticator(谷歌身份验证器)是谷歌推出的一个动态密令工具,它有两种密令模式。分别是“TOTP 基于时间”、“HOTP 基于计数器”,通过手机上 简单的设置就可以设定自己独一的动态密令, 那么我们怎么将我们的程序和认证器进行对接呢?其实谷歌认证器并不是需要我们对接这个工具的API而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值