[信息安全] 4.一次性密码 && 身份认证三要素

最新推荐文章于 2021-05-17 17:42:17 发布
最新推荐文章于 2021-05-17 17:42:17 发布
阅读量682 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sd7o95o/article/details/78096222
版权

在信息安全领域,一般把Cryptography称为密码,而把Password称为口令。日常用户的认知中,以及我们开发人员沟通过程中,绝大多数被称作密码的东西其实都是Password(口令),而不是真正意义上的密码。本文保持这种语义,采用密码来代指Password,而当密码和口令同时出现时,用英文表示以示区分。

0. OTP一次性密码

OTP是One Time Password的简写,即一次性密码。在平时生活中,我们接触一次性密码的场景非常多,比如在登录账号、找回密码,更改密码和转账操作等等这些场景,其中一些常用到的方式有:

  1. 手机短信+短信验证码;

  2. 邮件+邮件验证码;

  3. 认证器软件+验证码,比如Microsoft Authenticator App,Google Authenticator App等等;

  4. 硬件+验证码:比如网银的电子密码器;

这些场景的流程一般都是在用户提供了账号+密码的基础上,让用户再提供一个一次性的验证码来提供一层额外的安全防护。通常情况下,这个验证码是一个6-8位的数字,只能使用一次或者仅在很短的时间内可用(比如5分钟以内)。

1. HOTP基于消息认证码的一次性密码

HOTP是HMAC-Based One Time Password的缩写,即是基于HMAC(基于Hash的消息认证码)实现的一次性密码。算法细节定义在RFC4226(https://tools.ietf.org/html/rfc4226),算法公式为: HOTP(Key,Counter)  ,拆开是 Truncate(HMAC-SHA-1(Key,Counter)) 。

  1. Key:密钥;

  2. Counter:一个计数器;

  3. HMAC-SHA-1:基于SHA1的HMAC算法的一个函数,返回MAC的值,MAC是一个20bytes(160bits)的字节数组;

  4. Truncate:一个截取数字的函数,以3中的MAC为参数,按照指定规则,得到一个6位或者8位数字(位数太多的话不方便用户输入,太少的话又容易被暴力猜测到);

C#实现基于HMAC的OTP的代码:

 1 public static string HOTP(byte[] key, byte[] counter, int length = 6)
 2 { 
 3     var hmac = counter.ToHMACSHA1(key); 
 4  
 5     var offset = hmac[hmac.Length - 1] & 0xF; 
 6 
 7     var b1 = (hmac[offset] & 0x7F) << 24; 
 8     var b2 = (hmac[offset + 1] & 0xFF) << 16; 
 9     var b3 = (hmac[offset + 2] & 0xFF) << 8;
10     var b4 = (hmac[offset + 3] & 0xFF);
11 
12     var code = b1 | b2 | b3 | b4; 
13 
14     var value = code % (int)Math.Pow(10, length);
15 
16     return value.ToString().PadLeft(length, '0');
17 }

调用一下试试看:

1 //密钥key
2 var key = "lnh_key".ToBytes(Encoding.UTF8);
3 //计数器
4 var counter = "lnh_counter".ToBytes(Encoding.UTF8);
5 //otp6=752378
6 var otp6 = SecurityHelper.HOTP(key, counter,6);
7 //otp8=49752378
8 var otp8 = SecurityHelper.HOTP(key, counter, 8);

其中key是HOTP算法需要的一个密钥(不可泄露);counter是每次生成HOTP的时候使用的计数器,使用一次就更换一个。然后就可以用来生成OTP了,第一此截取了6位,第二此截取了8位。

2. TOTP基于时间的一次性密码

TOTP是Time-Based One Time Password的缩写。TOTP是在HOTP的基础上扩展的一个算法,算法细节定义在RFC6238(https://tools.ietf.org/html/rfc6238),其核心在于把HOTP中的counter换成了时间T,可以简单的理解为一个当前时间的时间戳(unixtime)。一般实际应用中会固定一个时间的步长,比如30秒,60秒,120秒等等,也就是说再这个步长的时间内,基于TOTP算法算出的OTP值是一样的。废话不多说,看看TOTP算法的核心代码:

1 public static string TOTP(byte[] key, int step = 60, int length = 6)
2 {
3     var unixTime = (DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0, DateTimeKind.Utc)).TotalSeconds;
4     var counter = ((int)unixTime) / step;
5     var counterBytes = BitConverter.GetBytes(counter);
6     return HOTP(key, counterBytes, length);
7 }

调用一下试试看:

//密钥keyvar
 key = "lnh_key".ToBytes(Encoding.UTF8);
//在10秒内生成,otp是一样的
for (var i = 0; i < 100; i++)
{   
 var otp = SecurityHelper.TOTP(key, 10, 6);
    Console.WriteLine(otp);
    Thread.Sleep(1000);
}

3. 身份认证三要素

首先解释下什么是身份认证?其实很简单,就是让对方相信你就是你。那么如何让对方相信你就是你呢?按照你能提供的信息的等级来划分,大致有如下三种信息可以证明你就是你自己:

  1. 你所知道的信息:比如我们最广泛使用的“用户名+密码”,因为只有你自己知道“用户名+密码”这个信息组合,那么当你把这个组合提供给我的时候,我就可以相信你就是你。

  2. 你所拥有的信息:假如你的“用户名+密码”泄露给了第三方,这个时候你就会有被第三方冒充的危险了。怎么办呢,再进一步提供一个只有你自己拥有的信息,即可防止被第三方冒充的危险。

  3. 你所独有的信息:再假设一下,你拥有的信息也被泄露给了第三方,这个时候你又会面临被冒充的危险。再进一步,提供一个只有你自己所独有的的信息,比如你的指纹,虹膜,面部特征等等。

3.1 2SV 两步验证(Two Steps Verification)

两步验证现在是一个再加强认证安全方面广泛使用的一个解决方案。比如Google的2SV(https://www.google.com/landing/2step/),Microsoft的2SV(https://support.microsoft.com/zh-cn/help/12408/microsoft-account-about-two-step-verification)等等,通常的做法是当用户输入了"用户名+密码"的基础上,会让用户再提供一个一次性密码(以短信、邮件,或者动态密码生成器app的方式发放给用户)。再有比如在一些服务中需要用户额外设置的安全问题,比如“你的出生地在哪?”等等此类。

3.2 2FA双因素认证(Two Factor Authentication)

2SV有个孪生兄弟2FA(双因素认证:Two Factor Authentication),那么关于2SV和2FA有什么区别呢,比如让用户在“用户名+密码”的基础上提供的额外的一次性密码,关于这个一次性密码到底是属于“你所知道的信息”还是“你所拥有的信息”呢?并没有明显的区分界限,有兴趣的可以看看这里的讨论:https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference 。 如果你觉得这个一次性密码属于“你所知道的信息”,那么你可以认为它是2SV;如果你觉得这个一次性密码属于“你所拥有的信息”,那么你可以认为它是2FA。

总结来说,2FA就是使用了身份认证中的2个要素。

总结 & 参考

简单的介绍了下一次性密码的原理以及其应用场景,完整的代码请移步:https://github.com/linianhui/code/blob/master/src/SecurityHelper.cs 。如有错误之处,欢迎指正!

参考资料

OTP(One Time Password)Wiki:https://en.wikipedia.org/wiki/One-time_password

One Time Password System:https://tools.ietf.org/html/rfc2289

HOTP(HMAC-Based One Time Password) Wiki:https://en.wikipedia.org/wiki/HMAC-based_One-time_Password_Algorithm

HOTP(HMAC-Based One Time Password)RFC:https://tools.ietf.org/html/rfc4226

TOTP(Time-Based One Time Password)Wiki:https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm

TOTP(Time-Based One Time Password)RFC:https://tools.ietf.org/html/rfc6238

2SV vs 2FA (1):https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference

2SV vs 2FA (2):https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/

MFA/2FA(Multi Factor Authentication) Wiki:https://en.wikipedia.org/wiki/Multi-factor_authentication

相关文章: 

原文地址:http://www.cnblogs.com/linianhui/p/security-one-time-password.html

.NET社区新闻,深度好文,微信中搜索dotNET跨平台或扫描二维码关注

dotNET跨平台
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
翻译[RFC6238] TOTP: Time-Based One-Time Password Algorithm
anhe1364的博客
03-26 755
在闲暇时间做了一个TOTP相关的开源项目,在项目初步完成之余,我尝试对[RFC6238]文档进行了翻译,供大家参考与查阅,若有不妥之处,还望各位前辈海涵斧正。 [RFC6238] : Time-Based One-Time Password Algorithm 开源项目地址:tick-authenticator 文章概要 Thisdocumentdescribes an ex...
totp:基于时间的一次性密码算法(rfc6238)
04-06
TOTP类 实现基于时间的一次性密码算法(TOTP) 可以与例如一起使用。 。 您需要运行Halon 5.5或更高版本,因为使用了base32_decode()和base32_endode()函数。 描述 根据您(Halon系统)和用户已知的秘密,您可以验证用户在给定时间提供的令牌。 令牌是由6个整数组成的字符串。 要进行验证,请使用机密创建类TOTP的实例。 使用对象的功能verify_token(user_token)验证用户提供的令牌。 时间以30秒为单位。 令牌在上一个,当前和下一个时间段内有效。 这是为了考虑到用户的React时间以及Halon与用户系统之间的时间差。 用法示例 使用base32编码的机密验证令牌: $base32_encoded_user_secret = base32_encode("the-secret-to-use"); $TOTP = TOTP([
一次性密码原理和典型应用
weixin_34221332的博客
07-06 1594
为了解决固定口令的诸多问题,安全专家提出了一次性口令(OTP:OneTimePassword)的密码体制,以保护关键的计算机资源。OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。例如:登录密码=MD5(用户名+密码+时间),系统接收到登录口令后做一个验算即可验证用户的合法性。1)不确定因子选择与口令生成这些不确定因子选...
在TM1300上实现H.26L的4&amp;#215;4点整数变换
12-10
摘要:H.26L是下一代视频编码标准。它的编码性超越了所有现存标准,包括H.263+和MPEG-4(SP)。该文分析H.26L引入的多种新的编码特性,着重讲述4×4点整数变换,并提出一种在TM1300上实现的快速变换算法。 关键词:H.26L UVLC 4×4点整数变换 TM1300引言H.26L是下一代视频编码标准。最初,H.26L由ITU-T的VCEG小组开始着手制订。2001年11月,MPEG和VCEG联合成立JVT小组共同参与制订H.26L。也正因为MPEG的加入,H.26L将被纳入MPEG-4的第十部分。由于H.26L标准还在制订过程中,本文暂时以JVT提供的测试模型TML8为
tick-authenticator::pager:RFC6238中指定的基于时间的一次性密码(TOTP)算法
03-19
滴答认证器 RFC 6238中指定的基于时间的一次性密码(TOTP)算法。 生活中我们会经常使用到TOTP的算法应用,如银行的动态密码器,网络游戏中的将军令,登录场景下的手机二次验证等等。 下图便是一个常见的TOTP动态密码生成器: 为了提高游戏账号的安全性我们在输入账号密码后,对于绑定了将军令的用户还需要输入将军令(OTP动态密码生成器)上面的一次性动态密码,验证通过后方才登陆成功。 TOTP的生成步骤 RFC4226中定义了生成HOTP的关键三个步骤 步骤1:生成HMAC-SHA-1值令HS = HMAC-SHA-1(K,C)// HS是一个20字节的字符串 步骤2:生成一个4字节的字符串(动态截断)令Sbits = DT(HS)//定义如下的DT返回一个31位的字符串 步骤3:计算HOTP值设Snum = StToNum(Sbits)//将S转换为0 ... 2 ^ {31} -
java 动态密码错误_什么是OTP:Java一次动态密码、付款码原理
weixin_34515601的博客
02-24 1239
1. 什么是OTP一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次密码。12. OTP原理动态密码的产生方式,主要是以时间差做为服务器与密码产生器的同步条件。在需要登录的时候,就利用密码产生器产生动态密码,OTP一般分为计次使用以及计时使用两种,计次使用的OTP产出后,可在不限时间内使用;计时使用的OTP则可设置密码有效时间,从30秒到两分钟不等...
安卓手机密码工作原理及破解方式
beiya123的博客
05-17 3994
在android手机中最常见的设备保护方式就是锁屏密码,从最早的手势密码到键盘密码再现在流行的指纹密码。 这些锁屏密码手机遗失后能有效保护手机隐私不被泄漏但也对执法人员提取手机证据造成了很大的困扰,在这里我们详细的说明下安卓手机手势密码和键盘密码的工作原理和破解方式。 手势密码原理和破解方式 安卓手机设置锁屏手势密码图案需满足三个要求: 至少四个点; 最多九个点; 无重复点。 这种看似复杂的解锁方式在手机内部存储时使用的是明文转换后采用hash方式存储。Android设备图案锁定的加密存储过程:
JAVA-基于RFC6238的TOTP算法的简单实现
莫兮的博客
07-04 1420
复制粘贴即可使用,如有需要,即可修改两个地方: main里的seed; poststring; 改以上两处,即可基于时间生成30秒一变的10位数码。 import java.io.UnsupportedEncodingException; import java.lang.reflect.UndeclaredThrowableException; import java.security.GeneralSecurityException; import java.text.DateFormat.
网络安全技术第四章——身份认证技术(身份认证及方式、身份认证三要素身份认证协议、KERBEROS协议、SSL协议)
热门推荐
ZSWAries的博客
05-30 1万+
为了方便大家观看,我每章都不会很长,因为太长了容易看不下去,我本人耐性就比较差,对那些太长的文章就感觉不是很能看下去,学到的知识也很有限,所以我写的话很长的文章我会尽量避免一下。 身份认证技术身份认证及方式1.概述:2.身份认证三要素(1)现实生活中:(2)网络中:二、身份认证协议典型的身份认证协议1.KERBEROS协议(1)Kerberos协议概述:(2)Kerberos协议2.SSL协议(1)SSL协议概述:(2)SSL协议主要提供3个方面的安全服务(3)SSL协议的特点: 身份认证及方式 1.概述
短信验证码
weixin_30553837的博客
03-02 83
代码源自 Microsoft.AspNet.Identity 程序集. 1 using System; 2 using System.Net; 3 using System.Security.Cryptography; 4 using System.Text; 5 6 namespace Authentication 7 { 8 internal ...
分别在 RFC 6238 和 RFC 4226 中指定的基于时间的一次性密码 (TOTP) _rust_代码_下载
06-12
分别在RFC 6238和RFC 4226中指定的基于时间的一次性密码 (TOTP) 和基于 HMAC 的一次性密码算法的简单 Rust 实现。 用法 从 rustotp_cli crate 构建命令行客户端: $ cd rustotp_cli $ cargo build 从密钥生成单个 OTP: $ ./target/debug/rustotp_cli 42 663792 或者,启动一个交互式会话,在每个时间步都会生成一个新的 OTP,并带有可视进度条: $ ./target/debug/rustotp_cli 42 --timestep=5 --interactive 495515 ##### ##### 783920 ##### ##### 484936 ##### ####
otphp:一个PHP库,用于根据RFC 4226(HOTP)和RFC 6238(TOTP)生成一次性密码
02-05
PHP中的TOTP / HOTP库 一个PHP库,用于根据 (HOTP算法)和 (TOTP算法)生成一次性密码 该库与可用于Android和iPhone的Google Authenticator应用程序兼容。 它也与其他应用程序兼容,例如 。 文献资料 该项目的位于。 支持 我为您的问题提供解决方案并回答您的问题。 如果您真的喜欢那个项目和我已经完成的工作,或者如果您希望我优先处理您的问题,那么您可以帮我几个忙 :clinking_beer_mugs: 或者更多! 要么 贡献 欢迎要求新功能,修复错误以及使该项目有用的所有其他想法。 请在存储库错误跟踪器中报告所有问题。 还请确保。 安全问题 如果您认为已发现安全问题,请不
dart-otp:RFC6238基于时间的一次性密码Google身份验证器库
05-24
dart-otp RFC4226 / RFC6238一次性密码/ Google身份验证器库 特征: 生成TOTP(RFC6238)和HOTP(RFC4226)代码。 入门 Pubspec pub.dartlang.org :(如果您只想始终使用最新版本,则可以使用“ any”而不是版本) dependencies : otp : 3.0.0-nullsafety.0 import 'package:otp/otp.dart' ; 开始生成令牌。 // Generate TOTP code. (String versin of function incase of leading 0) OTP . generateTOTPCodeString ( "JBSWY3DPEHPK3PXP" , 1362302550000 ); // -> '637305' // Gener
totp-net:一个小的 totp (rfc6238) c# library + GUI with google authenticationator 符合 QR-Code 生成
06-17
网络 一个小的totp c#库+带有谷歌身份验证器的GUI符合二维码生成。 快速开始 为 Secret GEZDGNBVGY3TQOJQGEZDGNBVGY3TQOJQ 生成实际代码。 秘密必须是 base32 编码的。 在此示例中,t1 设置为 30 秒,我们将得到一个 8 位长的代码。 string secret = " GEZDGNBVGY3TQOJQGEZDGNBVGY3TQOJQ " ; Totp totp = new Totp ( secret , 30 , 8 ); string totpCode = totp . getCodeString (); 资源 使用的库和类
totp:使用 Python 实现 RFC 6238
06-30
非活动项目:我不再使用它,赞成调整我的工作流程并使用 顶 该模块实现了 RFC 6238,TOTP 认证。 用法 生成.py 此脚本创建用于对用户进行身份验证的 YAML 配置文件。 它会引导您完成整个过程,并将结果转储到标准输出或文件。 totp.py 这将处理配置文件读取、密钥操作和代码验证。 一般的做法是实例化一个 totp.Config(file) 对象,获取你的代码,然后调用 Config().authenticate(code) 来检查它。 文件 这旨在与 pam_exec 一起使用。 它处理从 tty 读取和写入以获取代码,并将 0 或 1 返回到 pam_exec 以处理身份验证。 sshd.py 这可以与 sshd_config 中的 ForceCommand 一起使用,如果成功,将 os.execl 用户的 shell。 要求 pyyaml 执照 totp 是在
jsp&amp;amp;sql数据库简易商品销售信息管理系统.docx
11-01
jsp&amp;amp;sql数据库简易商品销售信息管理系统
VMWAREESX&amp;ESXIIntel网卡兼容性列表.pdf
05-06
ESXIIntel网卡兼容性列表.pdfVMWAREESX&amp;ESXIIntel网卡兼容性列表.pdfVMWAREESX&amp;ESXIIntel网卡兼容性列表.pdfVMWAREESX&amp;ESXIIntel网卡兼容性列表.pdfVMWAREESX&amp;ESXIIntel网卡兼容性列表.pdf
社交app 信息流页面 &amp; 用户信息页 .xd素材下载
04-20
社交app 信息流页面 &amp; 用户信息页 .xd素材下载
Framework7 1000+实用图标集 .sketch .svg &amp; 字体素材下载
04-20
Framework7 1000+实用图标集 .sketch .svg &amp; 字体素材下载
org.junit.AssumptionViolatedException: got: &amp;lt;false&amp;gt;, expected: is &amp;lt;true&amp;gt;
最新发布
11-29
org.junit.AssumptionViolatedException是JUnit测试框架中的一个异常类,表示测试假设失败。通常,当测试中的假设条件不满足时,该异常将被抛出。在这种情况下,测试不会被标记为失败,而是被标记为忽略。 如果你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值