TOTP算法全解析:一次性密码的生成与应用

最新推荐文章于 2024-06-13 16:45:30 发布
最新推荐文章于 2024-06-13 16:45:30 发布
阅读量881 收藏 3
点赞数 8
分类专栏: 数据安全 文章标签: TOTP算法 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42376192/article/details/138279283
版权

引言

随着网络安全意识的提升,一次性密码(One-Time Password, OTP)被广泛用于多因素认证中,以增强账户的安全性。时间基一次性密码(Time-Based One-Time Password, TOTP)算法是实现OTP的一种流行方式,它根据当前时间来生成密码。本文将详细介绍TOTP算法的工作原理、实现方法以及应用场景。

TOTP算法的工作原理

1. 密钥共享

用户和认证服务器之间共享一个密钥(Secret Key),通常以Base32编码表示。

2. 时间同步

TOTP算法要求用户设备和服务器之间时间同步,以确保生成的密码一致。

3. 时间步长

TOTP算法使用固定的时间步长(Time Step),通常为30秒。

4. 密码生成

在每个时间步长结束时,使用共享密钥和当前时间生成一个6位或8位的密码。

TOTP算法的实现方法

1. HMAC算法

TOTP基于HMAC(Hash-Based Message Authentication Code)算法,确保生成的密码具有高安全性。

2. 哈希函数

常用的哈希函数包括SHA-1、SHA-256和SHA-512。

3. 密码计算

将HMAC算法的输出与时间步长相结合,通过一系列计算得到最终的密码。

4. 编码转换

将计算得到的哈希值转换为6位或8位的数字密码。

TOTP算法的应用场景

1. 多因素认证

TOTP常用于网站和应用程序的多因素认证,提高账户安全性。

2. 银行和金融服务

在银行和金融服务中,TOTP用于生成动态密码,保护交易安全。

3. 虚拟私人网络(VPN)

TOTP用于VPN连接的二次验证,防止未授权访问。

4. 智能卡和令牌

TOTP算法被集成在智能卡和硬件令牌中,提供额外的安全层。

结论

TOTP算法作为一种有效的一次性密码生成方法,通过简单、安全的方式增强了多因素认证的安全性。通过理解TOTP的工作原理和实现方法,开发者和安全专家可以更好地利用这一技术,为用户提供更高级别的安全保护。

随手糊墙上
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
totp:基于时间的一次性密码算法(rfc6238)
04-06
TOTP类 实现基于时间的一次性密码算法(TOTP) 可以与例如一起使用。 。 您需要运行Halon 5.5或更高版本,因为使用了base32_decode()和base32_endode()函数。 描述 根据您(Halon系统)和用户已知的秘密,您可以验证用户在给定时间提供的令牌。 令牌是由6个整数组成的字符串。 要进行验证,请使用机密创建类TOTP的实例。 使用对象的功能verify_token(user_token)验证用户提供的令牌。 时间以30秒为单位。 令牌在上一个,当前和下一个时间段内有效。 这是为了考虑到用户的React时间以及Halon与用户系统之间的时间差。 用法示例 使用base32编码的机密验证令牌: $base32_encoded_user_secret = base32_encode("the-secret-to-use"); $TOTP = TOTP([
谷歌二次验证算法原理和代码实现
TonyNotes的博客
01-05 2132
自从用过谷歌(Google Authenticator)二次验证算法,我就充满了好奇感,同时觉得这种方式非常酷。一个纯离线的设备,就能生成用于网络验证的验证码。这就可以让我们完摆脱都某些东西的依赖。虽然这个算法是用于二次验证,但是我觉得用于一次验证也很酷啊。我已经讨厌透了手机验证码,完受限于移动运营商。很多应用没法收验证码,懂的都懂。出于对这个算法的好奇,一直想要研究一下,终于抽空问了下GPT4。写个笔记!
开发:身份认证方案之 Google 身份验证器和基于时间的一次性密码 TOTP 算法
最新发布
Innocence_0的博客
06-13 1059
目前很多应用都逐步采用了双因子认证或者说MFA认证方案,因此本文介绍一下背后的机制和原理。使用TOTP算法,只要满足两个条件:1)基于相同的密钥;2)时钟同步;只需要事先约定好密钥,TOTP算法就可以保证校验段和被校验端具有相同的输出。
【TOTP】TOTP算法(基于时间的一次性动态密码)原理介绍 & 简要逻辑实现说明
大胡子老哥的博客
10-26 3966
TOTP算法(基于时间的一次性动态密码)原理介绍及实现简要
关于Google身份验证器、基于时间的一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 7664
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
【IoT】加密与安:动态令牌 OTP、HOTP、TOTP 原理解析
热门推荐
产品线负责人
05-24 1万+
1、OTP、HOTP、TOTP 简介 1.1、OTP One-Time Password 简写,表示一次性密码。 1.2、HOTP HMAC-based One-Time Password 简写,表示基于 HMAC 算法加密的一次性密码。是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过 HASH 算法运算出一致的密码。 1.3、TOTP Time-based One-Ti...
物联网安-动态口令TOTP
会打莎士比亚的猴子的博客
04-12 1936
动态口令学习记录
双因子认证(Two-factor authentication)
仔哥学编程
12-24 2888
简言之,双因素身份验证(也称为“两步验证”)是指身份验证涉及两个阶段——通常是除了常规密码)之外的某种一次性密码OTP:One-Time Password)。网上银行已经使用这种方法很长一段时间了,最近这种方法也在网流行起来。还有其他可用的方法,但基于时间的一次性密码(TOTP)非常常用。有几个移动应用程序支持该标准,Google Authenticator就是其中之一(Android、iOS)下图就是一个使用场景。
nimble_totp:一个小型的Elixir库,用于基于时间的一次性密码(TOTP
02-05
TOTP是HOTP(基于计数器的一次性密码)的一种变体,它根据当前时间生成一次性密码。这个过程主要分为以下步骤: 1. **密钥生成**:首先,服务器和客户端需要共享一个密钥(通常为16-32字节的Base32编码字符串)。 2...
crotp:CrOTP-水晶的一次性密码
02-05
综上所述,crotp是一个基于Crystal语言实现的一次性密码生成器,支持HOTP和TOTP算法,用于两步验证。其源代码分布在“crotp-master”目录下,可能包括库文件、示例、测试和文档等,适合对OTP和Crystal编程感兴趣的人...
simple-totp:简单的TOTP CLI
02-22
TOTP是基于HMAC(Hash-based Message Authentication Code)算法和时间戳生成一次性密码。每个密码只在一定的时间窗口内有效,通常这个窗口是30秒。这样,即使攻击者截获了密码,也无法在有效期内使用。 Python中的...
gauth-chromeapp:此应用程序为 Google、Dropbox、Amazon 和许多其他公司使用的多因素身份验证生成 TOTP 令牌
06-30
在这里,JavaScript可能被用来实现TOTP算法生成动态密码,并与Chrome浏览器进行交互,提供用户友好的界面和实时的令牌更新。 **文件名称列表分析:** 尽管没有提供具体的文件列表,但通常在这样的项目中,我们...
OTPClient:以CGTK编写的高度安且易于使用的OTP客户端,同时支持TOTP和HOTP
01-30
这款软件设计的主要目标是为用户提供方便的TOTP(时间同步一次性密码)和HOTP(计数器一次性密码)验证服务,这两种密码算法在现代网络安中扮演着重要角色。以下是关于OTPClient及其相关技术的详细说明: **一次...
TOTP 介绍及基于C#的简单实现
极客神殿
09-04 604
TOTP 算法是基于 HOTP 的,对于 HOTP 算法来说,HOTP 的输入一致时始终输出相同的值,而 TOTP 是基于时间来算出来的一个值,可以在一段时间内(官方推荐是30s)保证这个值是固定以实现,在一段时间内始终是同一个值,以此来达到基于时间的一次性密码生成算法,使用下来整体还不错,有个小问题,如果需要实现一个密码只能验证一次需要自己在业务逻辑里实现,只能自己实现,TOTP 只负责生成和验证。TOTP 是基于时间的一次性密码生成算法,它由。和基于事件的一次性密码生成算法不同。
TOTP算法实现
欢迎来到我的博客站点
09-17 482
双因子认证(2FA)是一种身份验证方法,要求用户提供密码和另一个认证因子或者至少提供两个认证因子(其中一个代替密码),从而提高用户账户的安性。传统的密码仅为一组静态信息,很容易被窃取,而导致账户被盗用,相对来说,双因子认证比传统密码还多了一个认证步骤,并且一般来说认证因子会比传统密码更难破解、获取(具有时效性),引入双因子认证虽然带来了一定复杂度,但提高了安性。
双因素认证TOTP原理
zhbi98 的技术 Blogs
01-27 1157
在上面讲到的设备级认证中除了短信验证方式之外,需要使用额外的认证设备银行卡或 U 盾,但是随时携带额外的不通用的认证设备是不便的,10 个银行使用需要额外携带 10 张额外银行卡,所以手机才是最好的替代品。手机与密码就成了最佳的双因素认证方式。其中短信验证码,这种方式很好理解,就是只有账号绑定的手机号能够收取到验证码,所以能够输入正确验证码的一般就是本人了,除非短信被人获取或伪造。除了短信验证码这种方式,还有一种 TOTP 的概念,下面详细来讲解一下 TOTP 的实现方式。
TOTP动态密码认证功能,让天下无贼!
cto_yf_hu的博客
07-15 4996
据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。 1、现行静态固定密码的缺陷 1)自身不安导致ID盗用 自己不小心泄露或主动分享密码 黑客入侵脱库,即使用户数据库加密,也可以离线破解 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA 黑客MITM抓包窃听 2)不方便导致用户友好性差 为对抗...
TOTP:Time-based One-time Password Algorithm(基于时间的一次性密码算法
weixin_34228617的博客
01-08 886
TOTP - Time-based One-time Password Algorithm is an extension of the HMAC-based One Time Password algorithm HOTP to support a time based moving factor. TOTP(基于时间的一次性密码算法)是支持时间作为动态因素基于HMAC一次性密码算法的扩展。 ...
2FA双因子认证之OTP算法
分享各种技术
01-24 1542
2FA双因子认证之OTP算法 概述 2 Factor Authentication简称2FA,双因子认证是一种安密码验证方式。区别于传统的密码验证,由于传统的密码验证是由一组静态信息组成,如:字符、图像、手势等,很容易被获取,相对不安。2FA是基于时间、历史长度、实物(信用卡、SMS手机、令牌、指纹)等自然变量结合一定的加密算法组合出一组动态密码,一般每60秒刷新一次。不容易被获取和破解,相对安。 TOTP/HOTP作为其中的一种(实际是两种,不过其中一个是变种,这里当作一种)算法,目前已经用于
uniapp totp算法
12-22
TOTP(Time-Based One-Time Password)是一种基于时间的一次性密码算法,用于生成动态密码。它是基于HOTP(HMAC-Based One-Time Password)算法的扩展,通过结合时间戳和密钥生成密码,以提供更高的安性。 以下是使用uniapp实现TOTP算法的示例代码: ```javascript // 导入js库 import jsSHA from 'jssha'; // 生成TOTP密码 function generateTOTP(secretKey) { // 获取当前时间戳 const timestamp = Math.floor(Date.now() / 1000); // 将时间戳转换为8字节的大端字节数组 const timeBytes = new Array(8); for (let i = 7; i >= 0; i--) { timeBytes[i] = timestamp & 0xff; timestamp >>>= 8; } // 使用HMAC-SHA1算法计算哈希值 const shaObj = new jsSHA('SHA-1', 'ARRAYBUFFER'); shaObj.setHMACKey(secretKey, 'ARRAYBUFFER'); shaObj.update(new Uint8Array(timeBytes)); const hmac = shaObj.getHMAC('ARRAYBUFFER'); // 获取哈希值的最后一个字节 const offset = hmac[hmac.length - 1] & 0xf; // 从哈希值中截取4个字节作为动态密码 const otp = ( ((hmac[offset] & 0x7f) << 24) | ((hmac[offset + 1] & 0xff) << 16) | ((hmac[offset + 2] & 0xff) << 8) | (hmac[offset + 3] & 0xff) ) % 1000000; // 将动态密码转换为6位字符串 const otpString = otp.toString().padStart(6, '0'); return otpString; } // 使用示例 const secretKey = 'JBSWY3DPEHPK3PXP'; // 密钥 const totp = generateTOTP(secretKey); console.log('TOTP密码:', totp); ``` 请注意,上述代码中使用了`jssha`库来计算HMAC-SHA1哈希值。在使用之前,需要先安装该库。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

随手糊墙上

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值