新版PassXYZ已上线，新增一次性密码（OTP）管理功能

在最新版本的PassXYZ中，Google，Microsoft和 Facebook等所用的一次性密码都可以用PassXYZ来操作管理了。以前我一直使用Google Authenticator和Microsoft Authenticator来生成一次性密码分别用于登录相关账号。Google Authenticator用于登陆Google，Facebook和GitHub等账号，Microsoft Authenticator专门用于登录Microsoft账号。由于我之前使用的是苹果手机，后来换了一款Android手机，使用后发现中国的手机因为没有Google Services，所以无法安装Microsoft Authenticator，而Google Authenticator虽然可以安装，但工作却不正常。还有一个麻烦的问题是，即使手机可以安装这两个应用，我所有账号的OTP都必需要重新设置，因为无法将原设置从苹果手机导入到新的Android手机上。

因此，在开发PassXYZ时，我就考虑把OTP功能加入到PassXYZ中以方便使用。PassXYZ使用的是KeePass数据库，如果将所有的OTP设置都保存在KeePass数据库中，同时使用PassXYZ来产生一次性密码，我所遇到的问题就都可以迎刃而解了。因为在Android，iOS和Windows 10上都可以使用PassXYZ，跨平台使用不成问题，同时各种数据导入的问题均可以通过云存储同步和备份加以解决。

双因素认证与一次性密码 (OTP)

为了让更多用户更好地了解如何正确使用PassXYZ来管理一次性密码，在介绍PassXYZ的一次性密码管理功能前，先介绍一下什么是双因素认证和一次性密码。

双因素认证(Two factors Authentication或简称2FA)是多因素验证中较为常用的一种验证方式，即除了用户名密码外，还需要提供另一个身份验证方式来识别用户。目前流行的双因素认证方法中，较为常用的是基于一次性密码(One Time Password 或者简称 OTP)的验证方式。

基于一次性密码(OTP)的验证方法主要有两种形式，一种是通过短信发送一次性密码，另一种是通过专门的应用来产生一次性密码（比如Google Authenticator或PassXYZ）。这两种形式，本质上是一样的，区别仅在于用户获取一次性密码的方式不同。它们各有优缺点，所以大多数互联网服务会同时提供这两种验证机制，以便用户根据自己的需要选择其一。

关于其他多因素验证方法的介绍，您可以参阅另一篇文章“什么是多因素验证？为何要使用多因素验证来保障密码管理的安全？”。在这里，我们主要讨论的是基于rfc4226和rfc6238实现的一次性密码。

实现OTP的标准

由于OTP是最经济且易使用的双因素认证方式，基于rfc4226和rfc6238的一次性密码验证方法被广泛使用在大量的互联网服务中。比如Google，Facebook，Git