Microsoft authenticator 等身份验证器的原理是什么

wecode66

已于 2025-02-11 20:24:17 修改

阅读量693

点赞数 5

文章标签： microsoft 身份验证器

于 2025-02-08 14:41:18 首次发布

本文链接：https://blog.csdn.net/sepnineth/article/details/145514683

版权

文章目录

一、Microsoft authenticator 等身份验证器的原理是什么
二、国内都是用短信验证码，为什么还需要身份验证器呢？

一、Microsoft authenticator 等身份验证器的原理是什么

Microsoft Authenticator 等身份验证器主要基于多因素身份验证（MFA）的原理来增强账户登录的安全性，下面详细介绍其工作原理：

1、基本概念

多因素身份验证要求用户提供两种或更多类型的身份验证因素，常见的身份验证因素分为以下三类：

你知道的信息： 例如密码、PIN 码。
你拥有的物品： 如手机、硬件令牌。
你的生物特征： 指纹、面部识别等。

身份验证器应用主要涉及 “你拥有的物品” 这一因素，通过在用户的移动设备上生成一次性验证码，与用户知道的密码等信息结合，增加账户登录的安全性。

2、具体原理

基于时间的一次性密码（TOTP）算法

原理概述：
大多数身份验证器应用（包括 Microsoft Authenticator）采用 TOTP 算法（RFC 6238 标准）来生成一次性验证码。TOTP 算法基于当前时间和一个共享密钥（由服务提供商分配给用户）来生成动态的、一次性使用的密码。
工作流程
- 密钥分配： 当用户启用身份验证器应用进行多因素身份验证时，服务提供商（如 Microsoft）会为用户的账户分配一个唯一的共享密钥。这个密钥通常以二维码的形式展示给用户，用户使用身份验证器应用扫描该二维码，将密钥存储在应用中。
- 验证码生成： 身份验证器应用使用存储的共享密钥和当前时间戳，按照 TOTP 算法生成一个 6 位或 8 位的一次性验证码。TOTP 算法会将时间戳按一定的时间间隔（通常为 30 秒）进行划分，在每个时间间隔内生成的验证码是唯一的。
- 验证码验证： 当用户登录账户时，除了输入密码外，还需要输入身份验证器应用生成的一次性验证码。服务提供商的服务器使用相同的共享密钥和当前时间戳，按照 TOTP 算法生成一个预期的验证码，并将其与用户输入的验证码进行比对。如果两者匹配，则验证通过。

3、推送通知验证

原理概述：
除了 TOTP 验证码，Microsoft Authenticator 还支持推送通知验证方式。当用户尝试登录账户时，服务提供商的服务器会向用户的身份验证器应用发送一条推送通知。
工作流程
- 推送通知发送：
  用户在登录页面输入用户名和密码后，服务器检测到该账户已启用推送通知验证，会向用户的身份验证器应用发送一条包含登录请求信息的推送通知。通知中通常会显示登录的 IP 地址、设备信息等，让用户确认是否为本人操作。
- 用户确认： 用户收到推送通知后，可以在身份验证器应用中选择 “批准” 或 “拒绝” 登录请求。如果用户选择 “批准”，身份验证器应用会向服务器发送一个确认信号，服务器验证该信号后允许用户登录账户；如果用户选择 “拒绝”，服务器会阻止该登录请求。
- 安全性保障
  密钥安全：共享密钥在传输和存储过程中都进行了加密处理，确保密钥不被泄露。身份验证器应用会将密钥安全地存储在用户的移动设备上，只有用户通过设备的解锁方式（如密码、指纹识别）才能访问应用。
- 时间同步：
  TOTP 算法依赖于准确的时间同步。身份验证器应用和服务提供商的服务器都需要与标准时间源（如网络时间协议 NTP 服务器）进行同步，以确保在相同的时间间隔内生成相同的验证码。
- 防止重放攻击： 一次性验证码只能使用一次，服务器在验证通过后会标记该验证码已使用，防止攻击者重复使用相同的验证码进行登录。

二、国内都是用短信验证码，为什么还需要身份验证器呢？

尽管短信验证码在国内应用广泛，但身份验证器仍有其独特的优势和存在价值，以下从安全、便捷性、可靠性等多个维度进行分析：

1、安全性更高

抵御短信拦截风险： 短信验证码依赖于电信运营商的短信通道进行传输，存在被拦截的可能。不法分子可以通过伪基站等手段截取用户的短信验证码，进而破解用户账户。而身份验证器采用基于时间的一次性密码（TOTP）算法或推送通知验证，不依赖短信传输，避免了短信被拦截的风险。例如，攻击者无法通过伪基站获取身份验证器生成的动态验证码。
降低 SIM 卡劫持风险： SIM 卡劫持是一种常见的攻击手段，攻击者通过欺骗运营商客服，将用户的手机号码转移到自己的 SIM 卡上，从而获取短信验证码。身份验证器与 SIM 卡无关，即使 SIM 卡被劫持，攻击者也无法获取身份验证器生成的验证码，有效保护了用户账户安全。

2、便捷性更佳

无需等待短信： 使用短信验证码时，用户需要等待短信送达，这可能会受到网络状况、运营商服务等因素的影响，导致短信延迟甚至丢失。而身份验证器可以在需要时立即生成验证码，无需等待，提高了登录效率。例如，在紧急情况下需要快速登录账户时，身份验证器的优势更加明显。
支持多平台使用： 身份验证器应用可以安装在手机、平板电脑等多种设备上，用户可以根据自己的需求选择合适的设备生成验证码。而且，即使手机没有信号，只要设备正常运行，身份验证器仍然可以生成有效的验证码。

3、可靠性更强

不受短信通道故障影响： 短信验证码的发送和接收依赖于电信运营商的短信通道，如果短信通道出现故障或拥堵，用户可能无法及时收到验证码。身份验证器不依赖短信通道，不会受到此类问题的影响，保证了身份验证的可靠性。
避免短信误删或遗漏： 有时候用户可能会误删短信验证码，或者由于疏忽没有及时查看短信，导致无法使用验证码登录账户。使用身份验证器，验证码会一直保存在应用中，用户可以随时查看和使用。

4、适用场景更广泛

企业级安全需求： 在企业环境中，对账户安全的要求更高。身份验证器可以与企业的身份管理系统集成，为员工提供更安全、便捷的身份验证方式。例如，企业可以要求员工在登录公司内部系统时使用身份验证器进行多因素身份验证，有效防止企业数据泄露。
海外业务拓展： 当国内用户使用海外的服务时，短信验证码可能会受到国际短信服务质量不稳定、费用高等问题的影响。身份验证器作为一种通用的身份验证方式，不受地域限制，可以在全球范围内使用，为用户提供一致的安全体验。