动态密码卡TOTP算法

最新推荐文章于 2023-11-30 13:47:50 发布
最新推荐文章于 2023-11-30 13:47:50 发布
阅读量352 收藏 3
点赞数
原文链接:http://www.cnblogs.com/50614090/p/5848409.html
版权

TOTP NET实现:http://googleauthcsharp.codeplex.com/

引用:http://www.cnblogs.com/wangxin201492/p/5030943.html

1. OTP

OTP(One-Time Password)译为一次性密码,也称动态口令。是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术。

1.1 OTP的认证原理

动态口令的基本认证原理是在认证双方共享密钥,也称种子密钥,并使用的同一个种子密钥对某一个事件计数、或时间值、或者是异步挑战数进行密码算法计算,使用的算法有对称算法HASHHMAC,之后比较计算值是否一致进行认证。可以做到一次一个动态口令,使用后作废,口令长度通常为6-8个数字,使用方便,与通常的静态口令认证方式类似.

1.3 OTP的实现方式

  1. 时间同步(TOTP)
  2. 事件同步(HOTP)
  3. 挑战/应答(OCRA)

2. HOTP

HOTP(HMAC-base On-Time Password)译为基于HMAC的一次性密码,也称事件同步的动态密码。

2.1 HOTP的工作原理

$$ HTOP(K,C) = Truncate(HMAC-SHA-1(K,C))$$
客户端和服务器事先协商好一个密钥K,用于一次性密码的生成过程。此外,客户端和服务器各有一个计数器C,并且事先将计数值同步。而Truncate是为了获得一个符合HTOP要求的值。

3 TOTP

TOTP(Time-base One-Time Password)译为基于时间的一次性密码,也称时间同步的动态密码.

3.1 TOTP的工作原理

$$TOTP = Truncate(HMAC-SHA-1(K,T))$$
TOTPHOTP的一个变种,将HOTP中的计数器C替换为依托时间的参数T,T是由当前时间(CurrentUnixTime、初始时间(T0)、步长(X)决定的。即:

$$ T = (Current Unix time - T0) / X $$

  • CurrentUnixTime:当前的Unix时间。
  • T0: 开始计步初始化时间,默认为0
  • X : 步长,默认情况下为30s

3.2 TOTP的要求

  1. 客户端和服务器必须能够彼此知道或者推算出对方的Unix Time
  2. 客户端和服务器端必须共享一个密钥
  3. 算法必须使用HOTP作为其关键实现环节
  4. 客户端和服务器端必须使用相同的步长X
  5. 每一个客户端必须拥有不同的密钥
  6. 密钥的生成必须足够随机
  7. 密钥必须储存在防篡改的设备上,而且不能在不安全的情况下被访问或使用。
  8. 对该算法中T的实现必须大于int32,因为它在2038年将超出上限。
  9. T0和X的协商必须在之前的步骤中就已经做好了。

3.3 安全性考虑

3.3.1 安全性分析

该算法的安全性和健壮性完全依赖于其关键实现环节HOTP

安全性分析的结果是:在所有的测试中,该算法的结果均匀的、独立的分布。这个分析显示,最好的攻击和破解TOTP(HOTP)的方法是暴力破解。而在算法要求环节,要求key必须有足够的随机性。

3.3.2 时延兼容

在同一个步长内,动态密码生成的结果是一样的。当一个验证系统获得这个动态密码的时候,它并不知道动态密码的生产者是在哪个步长内产生的密码。由于网络的原因,客户端生成密码的时间和服务器接受密码的时间可能差距会很大,很有可能使得这2个时间不在同一个步长内。当一个动态密码产生在一个步长的结尾,服务器收到的密码很有可能在下一个步长的开始。

验证系统应该设置一个策略允许动态密码的传输时延,不应该只验证当前步长的动态密码,还应该验证之前几个步长的动态密码。但越大的传输时延窗口设置,就会带来越大的风险被攻击,我们推荐最多设置一个时延窗口来兼容传输延时。

3.3.3 步长设置

步长大小的设置,直接影响安全性和可用性:

    1. 一个越大的步长,就会导致一个越大的窗口被攻击。当一个动态密码被生成而且在其有效期内暴露在第三方环境下,那么第三方系统就可以在该动态密码无效前使用这个密码。
    2. 我们推荐默认的步长时间是30s,这个默认值是在权衡了安全性和可用性的基础上提出的。
    3. 下一个动态密码肯定会在下一个步长生成,用户必须等待当前步长的结束。这个等待时间的理想值会随着步长的设置而增大。一个太长的窗口设置不使用网络用户登录这种场景,用户可能等不了一个步长的时间,就放弃登录

转载于:https://www.cnblogs.com/50614090/p/5848409.html

weixin_30832983
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HOTP和TOTP动态密码JAVA示例源码.zip
04-13
示例基于Android平台, JAVA通用. HOTP和TOTP动态密码Android示例源码 可用于做动态数字密码相关, 如:密码门禁等
java版本totp时钟动态离线密码源码demo
12-27
这是一个java版本的基于时钟的动态离线密码算法,简称TOTP,源码及demo,很小,极易使用,初学者易上手。
001 - TOTP 和 Google 身份验证器
weixin_46253518的博客
04-05 4934
双因子验证,TOTP, Google 验证器
2FA双因子认证之OTP算法
分享各种技术
01-24 1476
2FA双因子认证之OTP算法 概述 2 Factor Authentication简称2FA,双因子认证是一种安全密码验证方式。区别于传统的密码验证,由于传统的密码验证是由一组静态信息组成,如:字符、图像、手势等,很容易被获取,相对不安全。2FA是基于时间、历史长度、实物(信用、SMS手机、令牌、指纹)等自然变量结合一定的加密算法组合出一组动态密码,一般每60秒刷新一次。不容易被获取和破解,相对安全。 TOTP/HOTP作为其中的一种(实际是两种,不过其中一个是变种,这里当作一种)算法,目前已经用于
一次性密码OTP,One-Time Password)介绍
yunmoon的博客
11-30 1513
一次性密码OTP,One-Time Password)是一种在认证过程中仅使用一次的密码。一旦使用,该密码立即失效,不能重复使用。由于OTP具有这种特性,即使攻击者截获到该密码,也无法再次用于身份验证。OTP通常通过短信、电子邮件或专用的身份验证应用程序发送给用户,形式为4到8位的数字、字母或数字字母组合。用户只需输入收到的密码,这使得OTP易于使用。
[信息安全] 4.一次性密码 && 身份认证三要素
weixin_34327761的博客
07-23 635
在信息安全领域,一般把Cryptography称为密码,而把Password称为口令。日常用户的认知中,以及我们开发人员沟通过程中,绝大多数被称作密码的东西其实都是Password(口令),而不是真正意义上的密码。本文保持这种语义,采用密码来代指Password,而当密码和口令同时出现时,用英文表示以示区分。 0. OTP一次性密码 OTP是One Time Password的简写,即...
OTP一次性动态密码工具Java实现
进修的CODER
01-12 2421
一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合,iKEY一次性密码已在金融、电信、网游等领域被广泛应用,有效地保护了用户的安全。
一次性密码HOTP/TOTP
码农的专栏
10-28 3320
OTP一次性密码 OTP是One Time Password的简写,即一次性密码。在平时生活中,我们接触一次性密码的场景非常多,比如在登录账号、找回密码,更改密码和转账操作等等这些场景,其中一些常用到的方式有: 手机短信+短信验证码; 邮件+邮件验证码; 认证器软件+验证码,比如Microsoft Authenticator App,Google Authenticator App等等; ...
脱机一次性口令OTP原理(将用户id加密到一串数字中)类似微信支付宝付款码,将军令等
欢迎来到一度's博客
10-12 5096
离线二维码的技术原型是在行业中广泛使用的一次性口令(OTP, One-time Password),使用了该技术的产品除了有支付宝和微信,还有银行U盾、游戏令牌等硬件设备。 在翼支付的离线二维码上,方案的设计概述为: 1、  登录翼支付,服务器生成唯一token,通过加密方式(如https)传递到客户端。 2、  打开付款码时,本地生成一段含有token与当前时时间戳的哈希值,如
totp.js-master.zip_TOTP_TOTP算法_TOTP算法 js实现_totp js
09-23
totp算法用JavaScript实现,实现了totp中的所有功能
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码.zip
09-18
otpauth, 实现 HOTP/totp的两步验证 也称为一次性密码 otpauth加密插件已经构建了两个因素支持。otpauth是一次口令认证,通常被称为两个步骤验证。 你可能已经从谷歌,Dropbox等听过了。 安装使用 pip 安装otpauth很简单:$ pi
OTP:Java一次动态密码、付款码原理
12-21
1. 什么是OTP 一次性密码(One Time Password,简称OTP),又称“一次性口令”,是指只能使用一次的密码。 2. OTP原理 动态密码的产生方式,主要是以时间差做为服务器与密码产生器的同步条件。在需要登录的时候,就利用密码产生器产生动态密码OTP一般分为计次使用以及计时使用两种,计次使用的OTP产出后,可在不限时间内使用;计时使用的OTP则可设置密码有效时间,从30秒到两分钟不等,而OTP在进行认证之后即废弃不用,下次认证必须使用新的密码,增加了试图不经授权访问有限制资源的难度。 计算公式: OTP(K,C) = Truncate(HMAC-SHA-1(K,C)
two-factor-auth:实现基于时间的一次性密码算法的两因素身份验证Java代码
05-02
两(2)个因素身份验证(2FA)Java代码 2因子验证(2FA)Java代码,它使用基于时间的一次性密码(TOTP算法。 您可以在Google Authenticator移动应用或Authy移动或浏览器应用中使用此代码。 请参阅的。 可以从获得代码。 Maven软件包通过发布 要使此功能起作用,请执行以下操作: 使用generateBase32Secret()为用户生成base-32格式的密钥。 例如: "NY4A5CPJZ46LXZCP" 将密钥存储在与用户帐户关联的数据库中。 显示由qrImageUrl(...)返回给用户的QR图像URL。 这是一个使用GoogleAPI的示例: 用户使用图像将密钥加载到他的身份验证器应用程序中。 每当用户登录时: 用户将来自身份验证器应用程序的号码输入到Web服务器上的登录表单中。 Web服务器从数据库中读取与用户帐户关联的机密
Ski:[DELETED] Ski是Mac OS X的S / Key(一次性键盘或密码)工具-开源
05-08
我之所以关闭SourceForge.net的帐户,是因为他们采取了可耻的做法,即接管了流行工具的帐户,并且将废话/恶意软件与下载捆绑在一起。 如果您是开发人员,建议您为项目找到其他托管服务。 Ski是MacOS X的S / Key(一次性密码密码)计算器,具有便捷的功能,例如将密码短语存储在系统钥匙串中,以及自动针对粘贴板上的挑战进行计算。
原创一次性口令(OneTimePassword)C语言源码
11-09
这是本人原创首创独创算法,可应用于SSH作为登入口令。 技术是一种接近自然随机数算法:均态分布随机数算法(非正态分布/高斯分布随机数算法)。 可能是超简单、超快速、超高效的口令生成器。 欢迎各路加解密精英高手破解,如果您破解了,拜请通知我。
totp-c-1.0.zip
12-27
C语言版本基于时钟生成动态密码算法,简称TOTP,源码及demo,已在电脑上运行过,可用。此代码比较简单明了,一看就懂。
一次性密码的原理和典型应用
weixin_34221332的博客
07-06 1630
为了解决固定口令的诸多问题,安全专家提出了一次性口令(OTP:OneTimePassword)的密码体制,以保护关键的计算机资源。OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。例如:登录密码=MD5(用户名+密码+时间),系统接收到登录口令后做一个验算即可验证用户的合法性。1)不确定因子选择与口令生成这些不确定因子选...
一次性密码本-绝对不会被破译的密码
热门推荐
程序那些事
06-24 1万+
文章目录一次性密码本加密之前的准备一次性密码本的加密方式一次性密码本的解密无法破译缺陷 一次性密码本 一次性密码本即Vernam Cipher,是由Gilbert Vernam在1917年, 开发的一种加密算法。 之所以叫做一次性密码本,是因为加密所用的密钥是一次性的,即密钥只会使用一次,不会出现因为密钥泄露导致之前的加密内容被解密。 即使密钥被泄露了,也只会影响一次通信过程。 加密之前的准备 通...
uniapp totp算法
最新发布
12-22
TOTP(Time-Based One-Time Password)是一种基于时间的一次性密码算法,用于生成动态密码。它是基于HOTP(HMAC-Based One-Time Password)算法的扩展,通过结合时间戳和密钥生成密码,以提供更高的安全性。 以下是使用uniapp实现TOTP算法的示例代码: ```javascript // 导入js库 import jsSHA from 'jssha'; // 生成TOTP密码 function generateTOTP(secretKey) { // 获取当前时间戳 const timestamp = Math.floor(Date.now() / 1000); // 将时间戳转换为8字节的大端字节数组 const timeBytes = new Array(8); for (let i = 7; i >= 0; i--) { timeBytes[i] = timestamp & 0xff; timestamp >>>= 8; } // 使用HMAC-SHA1算法计算哈希值 const shaObj = new jsSHA('SHA-1', 'ARRAYBUFFER'); shaObj.setHMACKey(secretKey, 'ARRAYBUFFER'); shaObj.update(new Uint8Array(timeBytes)); const hmac = shaObj.getHMAC('ARRAYBUFFER'); // 获取哈希值的最后一个字节 const offset = hmac[hmac.length - 1] & 0xf; // 从哈希值中截取4个字节作为动态密码 const otp = ( ((hmac[offset] & 0x7f) << 24) | ((hmac[offset + 1] & 0xff) << 16) | ((hmac[offset + 2] & 0xff) << 8) | (hmac[offset + 3] & 0xff) ) % 1000000; // 将动态密码转换为6位字符串 const otpString = otp.toString().padStart(6, '0'); return otpString; } // 使用示例 const secretKey = 'JBSWY3DPEHPK3PXP'; // 密钥 const totp = generateTOTP(secretKey); console.log('TOTP密码:', totp); ``` 请注意,上述代码中使用了`jssha`库来计算HMAC-SHA1哈希值。在使用之前,需要先安装该库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值