Google Authenticator工作原理

最新推荐文章于 2023-10-26 17:43:37 发布
最新推荐文章于 2023-10-26 17:43:37 发布
阅读量520 收藏
点赞数
分类专栏: golang 文章标签: golang authing
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36517296/article/details/132452236
版权

Google Authenticator是谷歌推出的一款动态口令工具,旨在解决大家Google账户遭到恶意攻击的问题,在手机端生成动态口令后,在Google相关的服务登陆中除了用正常用户名和密码外,需要输入一次动态口令才能验证成功,此举是为了保护用户的信息安全。那么,Authenticator采用了哪些算法?又是如何实现的?且看本文技术解读。

很多手机用户会使用 Google Authenticator(谷歌身份认证)来生成认证令牌,与传统单因子密码不同,其采用的是更安全的双因子(2FA two-factor authentication)认证。FA是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。只需要在手机上安装如此高大上的密码生成应用程序,就可以生成一个随着时间变化的一次性密码,用于帐户验证,而且这个应用程序不需要连接网络即可工作。

实际上Google Authenticator采用的算法是TOTP(Time-Based One-Time Password基于时间的一次性密码),其核心内容包括以下三点:

一个共享密钥(一个比特序列);
当前时间输入;
一个签署函数。
共享密钥

共享密码用于在手机端上建立账户。密码内容可以是通过手机拍照二维码或者手工输入,并会被进行base32加密。

手工密码的输入格式如下:

xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx

包含该令牌的二维码的内容是一个URL:

otpauth://totp/Google%3Ayourname@gmail.com?secret=xxxx&issuer=Google

时间输入(当前时间)

输入的时间值来自于手机本身,一旦我们获得密钥后,就无需与服务器再进行通信了。但是最重要一点是务必确保手机上的时间是正确的,因为往后的步骤服务器会多次重复使用之前得到的时间值,服务器只会认准这个值。进一步说,服务器会比对所有提交的令牌以确认哪一个是你输入并提交的。

签署

签署所使用的方法是HMAC-SHA1。HMAC的全称是Hash-based message authentication code(哈希运算消息认证码),以一个密钥和一个消息为输入,生成一个消息摘要作为输出,这里以SHA1作为消息输入。使用HMAC的原因是:只有用户本身知道正确的输入密钥,因此会得到唯一的输出。其算法可以简单表示为:

hmac = SHA1(secret + SHA1(secret + input))

事实上,TOTP是HMAC-OTP(基于HMAC的一次密码生成)的超集,区别是TOTP以当前时间作为输入,而HMAC-OTP以自增计算器作为输入,该计数器使用时需要进行同步。

算法

首先,要进行密钥的base32加密。虽然谷歌上的密钥格式是带空格的,不过base32拒绝空格输入,并只允许大写。所以要作如下处理:

original_secret = xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx  
secret = BASE32_DECODE(TO_UPPERCASE(REMOVE_SPACES(original_secret)))

第二步要获取当前时间值,这里使用的是UNIX time函数,或者可以用纪元秒。

input = CURRENT_UNIX_TIME()

在Google Authenticator中,input值拥有一个有效期。因为如果直接根据时间进行计算,结果将时刻发生改变,那么将很难进行复用。Google Authenticator默认使用30秒作为有效期(时间片),最后input的取值为从Unix epoch(1970年1月1日 00:00:00)来经历的30秒的个数。

input = CURRENT_UNIX_TIME() / 30

最后一步是进行HMAC-SHA1运算

1.original_secret = xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx  

2.secret = BASE32_DECODE(TO_UPPERCASE(REMOVE_SPACES(original_secret)))  

3.input = CURRENT_UNIX_TIME() / 30  

4.hmac = SHA1(secret + SHA1(secret + input))

至此,2FA所需的两个因子都已准备就绪了。但是HMAC运算后的结果会是20字节即40位16进制数,应该没有人会愿意每次都输入这么长的密码。我们需要的是常规6位数字密码!

要实现这个愿望,首先要对20字节的SHA1进行瘦身。我们把SHA1的最后4个比特数(每个数的取值是0~15)用来做索引号,然后用另外的4个字节进行索引。因此,索引号的操作范围是15+4=19,加上是以零开始,所以能完整表示20字节的信息。4字节的获取方法是:

1.然后将它转化为标准的32bit无符号整数(4 bytes = 32 bit):

2.large_integer = INT(four_bytes)

最后再进行7位数(1百万)取整,就可得到6位数字了:

1.large_integer = INT(four_bytes)  

2.small_integer = large_integer % 1,000,000

这也是我们最后要的目标结果,整个过程总结如下:

1.original_secret = xxxx xxxx xxxx xxxx xxxx xxxx xxxx xxxx  

2.secret = BASE32_DECODE(TO_UPPERCASE(REMOVE_SPACES(original_secret)))  

3.input = CURRENT_UNIX_TIME() / 30  

4.hmac = SHA1(secret + SHA1(secret + input))  

5.four_bytes = hmac[LAST_BYTE(hmac):LAST_BYTE(hmac) + 4]  

6.large_integer = INT(four_bytes)  

7.small_integer = large_integer % 1,000,000
也可以用golang库实现

https://github.com/robbiev/two-factor-auth

gitxuzan_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
总结谷歌身份验证器 Google Authenticator 的详细使用方法
03-05 8万+
谷歌身份验证器Google Authenticator是谷歌推出的一款动态口令工具,解决大家各平台账户遭到恶意攻击的问题,一般在相关的服务平台登陆中除了用正常用户名和密码外,需要再输入一次谷歌认证器生成的动态口令才能验证成功,相当于输入二次密码,以达到账户的高安全性。例如交易所、金融平台、以及一些钱包等项目等等,都会使用谷歌身份验证器Google Authenticator来做二次认证。 谷...
谷歌两步验证器身份怎么开Authenticator安卓app下载安装方法教程
u012362343的博客
05-06 1万+
国内互联网公司一般采取手机收验证码的方式对账号进行身份验证,增强账号的安全性。但是在国外通常采取使用谷歌两步身份验证器 (Google Authenticator),谷歌谷歌两步身份验证器的方便之处主要体现在: 1.在无网络的情况下也可以使用; 2.不需要电话卡收取短信验证码; 3.不受输出错误次数限制,无需等待60秒。 4.通过一个APP可以管理众多的账号。 当用户开启后登陆时除了输入账户和密码外还需要谷歌身份验证器里的每40秒更换一次的6位数字验...
详解Google Authenticator工作原理
aiyizhi2的专栏
09-26 1207
【编者按】Google Authenticator是谷歌推出的一款动态口令工具,旨在解决大家Google账户遭到恶意攻击的问题,在手机端生成动态口令后,在Google相关的服务登陆中除了用正常用户名和密码外,需要输入一次动态口令才能验证成功,此举是为了保护用户的信息安全。那么,Authenticator采用了哪些算法?又是如何实现的?且看本文技术解读。   很多手机用户会使用 Go
Google AuthenticatorGoogle身份验证器)
03-17
谷歌身份验证器,即Google AuthenticatorGoogle身份验证器)v2.33 谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题。
Google-Authenticator双因子认证
小高同学
06-30 2755
Google-authenticator是基于时间的一次性密码算法(TOTP)是一种根据预共享的密钥与当前时间计算一次性密码的算法。它已被互联网工程任务组接纳为RFC 6238标准[1],成为主动开放认证(OATH)的基石,并被用于众多多重要素验证系统当中。 TOTP是散列消息认证码(HMAC)当中的一个例子。它结合一个私钥与当前时间戳,使用一个密码散列函数来生成一次性密码。由于网络延迟与时钟不同步可能导致密码接收者不得不尝试多次遇到正确的时间来进行身份验证,时间戳通常以30秒为间隔,从而避免反复尝试。 在
Google Authenticator(谷歌身份验证器)C#版
LYBWWP
10-31 3401
Google Authenticator(谷歌身份验证器) 什么是认证器?怎么对接? Google Authenticator(谷歌身份验证器)是谷歌推出的一个动态密令工具,它有两种密令模式。分别是“TOTP 基于时间”、“HOTP 基于计数器”,通过手机上 简单的设置就可以设定自己独一的动态密令, 那么我们怎么将我们的程序和认证器进行对接呢?其实谷歌认证器并不是需要我们对接这个工具的API而...
Google Authenticator认证密钥从手机App中同步到Chrome浏览器插件中
最新发布
三劫散仙
10-26 2984
现在很多重要的项目都用了Google Authenticator来做安全认证,比如Github,Jumpserver等等,但每次认证登录时候,都得掏出来手机看token码就比较麻烦。还好 Google Authenticator 有 Chrome 浏览器插件,可以直接同步手机上的认证条目就非常nice,相比起来 FreeOTP 就太难用了,下面看下同步方法。hl=zh-CN。
接入Google认证Google Authenticator
09-14 1369
后端根据API生成的32位随机码,用户信息(用来确定数据库中用户记录),以及输入6位验证码,通过API传入32位随机码验证,当其与输入的验证码相同时,则绑定成功,把32位随机码持久化与用户绑定。调用API生成二维码QR字符串,需要传入用户信息(比如邮箱,昵称等),标题,以及生成的32位随机码。根据用户输入的6位验证码和正确的6位验证码做匹配,相同则登陆成功,不同则验证码时间失效或错误。调用API传入32位随机码,生成正确的6位验证码,每隔1分种会变化。调用API生成32位随机码。导入一下Maven依赖。
关于Google身份验证器、基于时间的一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 7048
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
谷歌身份验证器的使用超详细步骤
weixin_48974246的博客
11-01 2万+
谷歌身份验证器Google Authenticator是谷歌推出的一款动态口令工具,解决大家各平台账户遭到恶意攻击的问题,一般在相关的服务平台登陆中除了用正常用户名和密码外,需要再输入一次谷歌认证器生成的动态口令才能验证成功,相当于输入二次密码,以达到账户的高安全性。例如交易所、金融平台、以及一些钱包等项目等等,都会使用谷歌身份验证器Google Authenticator来做二次认证,开启谷歌身份验证之后,登录账户,除了输入用户名和密码,还需要输入谷歌验证器上的动态密码。4.4.扫描生成的二维码,即可。
Google身份验证器 Google Authenticator.apk
10-15
Google身份验证器 Google Authenticator.apk,用于gitlab双重身份认证
Android中新引进的Google Authenticator验证系统工作原理浅析
09-04
主要介绍了Android中新引进的Google Authenticator验证系统工作原理浅析,需要的朋友可以参考下
java笔试题算法-GoogleAuth:GoogleAuthenticator服务器端代码
06-03
Authenticator)。 要求 构建和使用此库所需的最低 Java 版本是 Java 7。 安装 向您的构建环境添加依赖项。 如果您使用的是 Maven: <groupId>com.warrenstrange</groupId> <artifactId>googleauth <version>1.4.0 ...
google-authenticator-util:构建NodeJS模块是为了使其更容易通过google进行身份验证,而无需过多了解其工作原理。 建议将此工具同时用于自动化和开发
03-16
关于 此NodeJS模块的构建是为了使其更容易通过google进行身份验证,而无需过多了解其工作原理。 建议将此工具同时用于自动化和开发... const authenticator = new GoogleAuthenticator({ clientId: 'your client ID',
extract_otp_secret_keys:从“ Google Authenticator”应用的导出QR码中提取两因素身份验证(2FA,TFA)秘密密钥
04-13
Google Authenticator中提取TOTP / HOTP秘密密钥 从“ Google Authenticator”应用的导出QR码中提取两因素身份验证(2FA,TFA)秘密密钥 用法 从“ Google Authenticator”应用中导出QR码 使用QR码阅读器阅读QR码 ...
Google Authenticator 原理及Java实现
lizhengjava的博客
08-09 1万+
作者:徐小花 链接:https://www.zhihu.com/question/20462696/answer/18731073 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 开启Google的登陆二步验证(即Google Authenticator服务)后用户登陆时需要输入额外由手机客户端生成的一次性密码。 实现Google Authent
网站如何经过身份验证_两步验证杀手锏:Java 接入 Google 身份验证器实战
weixin_39776991的博客
12-03 383
两步验证大家应该对两步验证都熟悉吧?如苹果有自带的两步验证策略,防止用户账号密码被盗而锁定手机进行敲诈,这种例子屡见不鲜,所以苹果都建议大家开启两步验证的。Google 的身份验证器一般也是用于登录进行两步验证,和苹果的两步验证是同样的道理。只不过 Google 的身份验证器用得更多更广泛,如 GitHub 的两步验证都是基于 Google 身份验证器。Google Authenticator 简...
谷歌身份验证器(Google Authenticator)的使用详情
热门推荐
weixin_43486863的博客
11-08 3万+
谷歌身份验证器(Google Authenticator) 前言 Google Authenticator,是谷歌推出的一款动态口令工具,解决大家的google账户遭到恶意攻击的问题;许多安全性比较高的网站都会采用这种工具来验证登录或者交易;这个动态口令就是Google身份验证器每隔30s会动态生成一个6位数的数字。它的作用是:对你的账号进行“二步验证”保护,或者说做一个双重身份验证,来达到提升安...
Google Authenticator 输入您的 Google Authenticator 密码
08-15
对于Google Authenticator(谷歌验证)的密码输入,实际上并没有一个固定的密码。Google Authenticator通过基于时间的一次性密码(TOTP)生成密码来进行账户验证。这种密码是根据事先与服务器约定好的密钥和当前的时间戳来生成的。当用户登录时,他们需要在Google Authenticator应用程序中输入由此算法生成的一次性密码,并将其发送到服务器进行验证。如果生成的一次性密码与服务器计算的密码一致,登录将成功。这种基于时间的算法确保了每个一次性密码只有在短时间内有效,提高了账户的安全性。所以实际上,你需要根据服务器提供的密钥和当前的时间戳,在Google Authenticator应用程序中生成对应的一次性密码,并输入该密码进行验证。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [谷歌验证器 Google Authenticator工作原理](https://blog.csdn.net/weixin_39732991/article/details/110784762)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [谷歌Google authenticator 整合到JAVA项目](https://blog.csdn.net/baidu_38990811/article/details/106002098)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gitxuzan_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值