google authenticator python_谷歌验证器 Google Authenticator工作原理

最新推荐文章于 2023-08-23 14:49:05 发布
最新推荐文章于 2023-08-23 14:49:05 发布
阅读量379 收藏 1
点赞数
文章标签: google authenticator python

很多人都听过谷歌验证 (Google Authenticator) 或用过谷歌验证 (Google Authenticator) 。尤其是随着比特币等虚拟货币的兴起,各大交易所都要求绑定谷歌验证 (Google Authenticator) 。那么谷歌验证 (Google Authenticator) 的工作原理是什么样的呢?本文将带你来了解它。

我们往往会在不同的网站上使用相同的密码,这样一旦一个网站账户的密码泄露,就会危及到其他使用相同密码的账户的安全,这也是最近的密码泄露事件造成如此大影响的原因。为了解决这个问题,一些网站在登录时要求除了输入账户密码之外,还需要输入另一个一次性密码。银行常用的动态口令卡就是这种一次性密码的例子,在线支付网站的一次性短信密码则是另一种实现。

Google 现在也推荐用户启用两步验证(Two-step verification)功能(Youtube 上的视频介绍),并且除了以短信或者电话的方式发送一次性密码之外,还提供了另一种基于时间的一次性密码(Time-based One-time Password,简称 TOTP),只需要在手机上安装密码生成应用程序,就可以生成一个随着时间变化的一次性密码,用于帐户验证,而且这个应用程序不需要连接网络即可工作。仔细看了看这个方案的实现原理,发现挺有意思的。下面简单介绍一下。

Google 的两步验证算法源自另一种名为 HMAC-Based One-Time Password 的算法,简称 HOTP。HOTP 的工作原理如下:

客户端和服务器事先协商好一个密钥 K,用于一次性密码的生成过程,此密钥不被任何第三方所知道。此外,客户端和服务器各有一个计数器 C,并且事先将计数值同步。

进行验证时,客户端对密钥和计数器的组合(K,C)使用 HMAC(Hash-based Message Authentication Code)算法计算一次性密码,公式如下:

HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))

上面采用了 HMAC-SHA-1,当然也可以使用 HMAC-MD5 等。HMAC 算法得出的值位数比较多,不方便用户输入,因此需要截断(Truncate)成为一组不太长十进制数(例如 6 位)。计算完成之后客户端计数器 C 计数值加 1。用户将这一组十进制数输入并且提交之后,服务器端同样的计算,并且与用户提交的数值比较,如果相同,则验证通过,服务器端将计数值 C 增加 1。如果不相同,则验证失败。

这里的一个比较有趣的问题是,如果验证失败或者客户端不小心多进行了一次生成密码操作,那么服务器和客户端之间的计数器 C 将不再同步,因此需要有一个重新同步(Resynchronization)的机制。这里不作具体介绍,详情可以参看 RFC 4226。

介绍完了 HOTP,Time-based One-time Password(TOTP)也就容易理解了。TOTP 将 HOTP 中的计数器 C 用当前时间 T 来替代,于是就得到了随着时间变化的一次性密码。非常有趣吧!

虽然原理很简单,但是用时间来替代计数器会有一些特殊的问题,这些问题也很有意思,我们选取几个进行一下探讨。

首先,时间 T 的值怎么选取?因为时间每时每刻都在变化,如果选择一个变化太快的 T(例如从某一时间点开始的秒数),那么用户来不及输入密码。如果选择一个变化太慢的 T(例如从某一时间点开始的小时数),那么第三方攻击者就有充足的时间去尝试所有可能的一次性密码(试想 6 位数字的一次性密码仅仅有 10^6 种组合),降低了密码的安全性。除此之外,变化太慢的 T 还会导致另一个问题。如果用户需要在短时间内两次登录账户,由于密码是一次性的不可重用,用户必须等到下一个一次性密码被生成时才能登录,这意味着最多需要等待 59 分 59 秒!这显然不可接受。综合以上考虑,Google 选择了 30 秒作为时间片,T 的数值为从 Unix epoch(1970 年 1 月 1 日 00:00:00)来经历的 30 秒的个数。

第二个问题是,由于网络延时,用户输入延迟等因素,可能当服务器端接收到一次性密码时,T 的数值已经改变,这样就会导致服务器计算的一次性密码值与用户输入的不同,验证失败。解决这个问题个一个方法是,服务器计算当前时间片以及前面的 n 个时间片内的一次性密码值,只要其中有一个与用户输入的密码相同,则验证通过。当然,n 不能太大,否则会降低安全性。

事实上,这个方法还有一个另外的功能。我们知道如果客户端和服务器的时钟有偏差,会造成与上面类似的问题,也就是客户端生成的密码和服务端生成的密码不一致。但是,如果服务器通过计算前 n 个时间片的密码并且成功验证之后,服务器就知道了客户端的时钟偏差。因此,下一次验证时,服务器就可以直接将偏差考虑在内进行计算,而不需要进行 n 次计算。

以上就是 Google 两步验证的工作原理,推荐大家使用,这确实是保护帐户安全的利器。

参考资料

【注:本文源自网络文章资源,由站长整理发布】

web 前端中文站 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权

转载请注明原文链接:谷歌验证器 Google Authenticator 工作原理

weixin_39732991
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android中新引进的Google Authenticator验证系统工作原理浅析
09-04
主要介绍了Android中新引进的Google Authenticator验证系统工作原理浅析,需要的朋友可以参考下
Google账户两步验证工作原理【转】
awtqty_zhang的专栏
12-06 617
      最近在考虑一些用户登录验证的问题,现阶段在涉及到一些交易时,基本上都使用的是短信验证验证,但有朋友说,有些时候短信验证码会出现延时,不及时。于是就看了一下Google Authenticator(coogle账户两步验证)技术。如下是从一位网友那里转来的该技术的原理描述,做个标记,方便查找。 来源:http://blog.seetee.me/archives/73.html  ...
Java安全之认证与授权
云原生之家
05-20 6469
Java平台提供的认证与授权服务(Java Authentication and Authorization Service (JAAS)),能够控制代码对敏感或关键资源的访问,例如文件系统,网络服务,系统属性访问等,加强代码的安全性。主要包含认证与授权两部分,认证的目的在于可靠安全地确定当前是谁在执行代码,代码可以是一个应用,applet,bean,servlet;授权的目的在于确定了当前执行代
使用Microsoft-Authenticator做系统登录的二次身份验证(双因素认证)
Libigtong的博客
05-30 3911
(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。我最近在项目中遇到需要在登录的时候加入双因素验证系统的功能需求, 整体步骤感觉还是有必要写下来,方便做类似功能的同学能够借鉴。10:10:30-10:11:00 之间生成的TOTP 能校验通过,以此类推。这个是策略类的接口,除了使用微软的验证,你还可以实现这个接口来使用其他品牌的验证。这个工具类就放在你的项目中,就代表你的这个功能做了有一半了。,每次认证时动态密码卡与服务分别根据同样的密钥,同样的。
java连接微软AD进行用户验证
winter3125的专栏
10-21 273
[code="java"] import java.util.Hashtable; import javax.naming.Context; import javax.naming.NamingException; import javax.naming.directory.DirContext; import javax.naming.directory.InitialDirCon...
googleauthenticator_demo:适用于PythonGoogle身份验证链接演示
04-09
cd googleauthenticator_demo heroku apps:create gauth-demo heroku git:remote --app gauth-demo git push heroku master heroku run --app gauth-demo python manage.py migrate 在Heroku上显示日志 heroku logs ...
extract_otp_secret_keys:从“ Google Authenticator”应用的导出QR码中提取两因素身份验证(2FA,TFA)秘密密钥
04-13
从“ Google Authenticator”应用的导出QR码中提取两因素身份验证(2FA,TFA)秘密密钥 用法 从“ Google Authenticator”应用中导出QR码 使用QR码阅读阅读QR码 将捕获的QR码保存在文本文件中。 将每个QR码保存在...
authenticator:HOTPTOTP命令行客户端,用于生成两因素和多因素身份验证代码,例如Google Authenticator
05-03
认证者authenticatorGoogle Authenticator电话应用程序或LastPass Authenticator电话应用程序的CLI模拟。 它是一个TOTP / HOTP客户端,可以生成支持两因素身份验证(TFA)或多因素身份验证(MFA)的站点进行身份...
google-authenticator-extractor:命令行工具,用于从Google Authenticator的QR码中提取机密信息
03-14
Google Authenticator提取 什么和为什么 ... 例如,下载适用于Mac OSX的可执行二进制文件google_authenticator_extractor-x86_64-apple-darwin ,并在终端中运行以下命令: chmod a+x google_authentic
google双因子验证totp生成函数集合
08-23
包含了一些在web中开发使用的TOTP双重因子验证等函数,可以结合谷歌authenticator app使用 其中使用pyotp模块是最简单和方便的实现
谷歌二步身份验证
java开发
11-18 2957
谷歌二次身份验证
谷歌二次验证的使用开发java版
胖子ღ牛逼
02-17 2285
在帐户安全体系中,很常见的有手机验证,邮箱验证谷歌二次验证。今天重点画下谷歌二次验证也就是Google Authenticator的开发使用。Google Authenticator不仅安全可靠,还可以离线使用,即使终端没有网络的情况下也可以进行验证。银行的U盾也是使用同样的方式。在这里不进行二次验证的原理说明,有兴趣的同学可以到 Google账户两步验证工作原理 进行了解哈。 验证的终端...
google authenticator 工作原理
veZunShao的专栏
08-29 6009
google authenticator TOTP文档https://tools.ietf.org/html/rfc6238实现源码 Google authenticator版本https://github.com/google/google-authenticator-android1.拿到HMACSHA1计算之后的签名static Signer getSigningOracle(String s
Android中Google Authenticator验证系统工作原理分析
08-17 535
为了改进Android的安全问题,Google在Android系统中引入了谷歌验证应用(Google Authenticator)来保证账号的安全。谷歌验证应用的使用方法是:用户安装手机客户端,生成临时身份验证码,提交到服务验证身份,类似的验证系统还有Authy。Robbie在其GitHub页面发布了自己用Go语言实现的版本,并撰写了一篇博文来解释其工作原理。 通常来讲,身份验证系统都
关于Google身份验证、基于时间的一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 6757
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
谷歌两步验证身份怎么开Authenticator安卓app下载安装方法教程
热门推荐
u012362343的博客
05-06 1万+
国内互联网公司一般采取手机收验证码的方式对账号进行身份验证,增强账号的安全性。但是在国外通常采取使用谷歌两步身份验证 (Google Authenticator),谷歌谷歌两步身份验证的方便之处主要体现在: 1.在无网络的情况下也可以使用; 2.不需要电话卡收取短信验证码; 3.不受输出错误次数限制,无需等待60秒。 4.通过一个APP可以管理众多的账号。 当用户开启后登陆时除了输入账户和密码外还需要谷歌身份验证里的每40秒更换一次的6位数字验...
Mark : 谷歌验证的原理及实现
tianyeshiye
05-07 9059
这两年发现身边的很多应用和网站纷纷支持两步验证,并且呼吁用户使用两步验证。并且发现,除了Apple ID的两步验证之外,其它两步验证很多能看到谷歌验证Google Authenticator)的身影。这让我产生了浓厚的兴趣,到底谷歌验证的原理是什么,我自己能实现一个类似的验证吗?什么是两步验证两步验证就是当用户输入账号密码并验证成功之后,需要额外输入一串一次性随机密码(一般是4-6位的数字...
Google Authenticator工作原理
最新发布
gitxuzan
08-23 511
Google Authenticator工作原理
详解Google Authenticator工作原理
03-05 5566
 详解Google Authenticator工作原理 发表于2014-09-23 08:28| 10060次阅读| 来源CSDN| 16 条评论| 作者伍昆 Google二维码Google Authenticator算法 摘要:Google Authenticator谷歌推出的一款动态口令工具,旨在解决大家Google账户遭到恶意攻击的问题。那么,Authen
python google auth totp_python基于谷歌身份验证的动态密码实现
05-24
Google Authenticator是一款基于TOTP算法的动态口令生成,可以生成一次性密码,用于用户的身份验证。而python google auth totp是一个基于python的库,可以实现TOTP算法和HOTP算法,用于生成动态密码。 首先,你...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值