【TOTP】TOTP算法(基于时间的一次性动态密码)原理介绍 & 简要逻辑实现说明

已于 2022-10-26 10:52:18 修改
阅读量3.6k 收藏 4
点赞数 1
分类专栏: 方案 算法 web 文章标签: 系统安全 安全架构 web安全 算法
于 2022-10-26 10:48:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43002640/article/details/127527560
版权
算法 同时被 3 个专栏收录
16 篇文章 0 订阅
订阅专栏
方案
6 篇文章 0 订阅
订阅专栏
web
3 篇文章 0 订阅
订阅专栏

什么是TOTP(Time-base One-Time Password)?

Time-base One-Time Password翻译过来是基于时间的一次性密码。这里以QQ令牌为例,解释下TOTP。

  • 首先,当用户首次使用QQ令牌时,服务器会向用户的手机APP上颁发一个证书/秘钥(这里理解为一个长的字符串,设为变量:secret,颁发时间[unix时间戳]记为:createTimestamp),单个临时密码的有效期为30s。
  • 手机APP生成临时密码,记当前手机unix时间戳为:appCurrTimestamp,生成规则为:
//当前步数,30秒为一步
var userId = xx;
var step = (appCurrTimestamp - createTimestamp)/(30*1000);
//生成一个六位密码(这里生成密码的方法大家自己定义,保证安全性就行,核心逻辑是上一步计算步数,保证相同步数生成的密码相同即可)
var tempPass = substr(sha256(userId + secret + step),6);
  • 手机APP将密码发送到服务端验证,记服务端当前时间为:serverCurrTimestamp
//当前用户ID
var currUserId = xx;
//根据当前用户ID查询用户秘钥
var currUserSecret = querySecretByUserId(currUserId);
var step = (serverCurrTimestamp - createTimestamp)/(30*1000);
//生成密码(这里生成密码的方法大家自己定义,保证安全性就行,核心逻辑是上一步计算步数,保证相同步数生成的密码相同)
var serverTempPass =  substr(sha256(currUserId + currUserSecret + step),6);
  • 最后验证手机端的生成的临时密码和server端生成的是否相同即可。

边界情况如何处理?

服务器和手机的时间可能存在时间差(还有网络延迟造成的时间差),为了弥补时间差造成的步数不一致的问题,一般会向前和向后多算一步,只要这三步有一步是符合条件的,则符合条件。

程序员_阿星
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
totp:基于时间一次性密码
06-16
基于时间一次性密码 这是一种与 Google Authenticator 兼容的基于时间一次性密码算法实现。 您可以在阅读更多关于 TOTP 的信息。 用法 密码来源于一个秘密和一个时间。 您可以使用TOTP.secret函数获取新的随机机密。 TOTP . secret #=> "YYZ27CO4WZTPZAYX" 如果您想在您的应用程序中实现 2 因素身份验证,此帮助程序非常方便。 为了生成基于时间一次性密码,您可以使用TOTP.passwords函数: # Using the secret "AAAAAAAAAAAAAAAA" and the current time TOTP . passwords ( "AAAAAAAAAAAAAAAA" ) #=> [783743, 17086, 955099] 您还可以提供特定的时间时间戳: # Using the
mfa:使用CLI生成TOTP(基于时间一次性密码)令牌
05-21
MFA 使用CLI生成TOTP(基于时间一次性密码)令牌。 安装 从下载。 解压缩并移至PATH目录。 配置 默认配置文件为$HOME/.mfa/secrets.yml或$HOME/.mfa/secrets.yaml 。 service : - name : amazon secret : " your secret key " - name : google secret : " your secret key " - name : github secret : " your secret key " 您可以更改配置文件路径以使用环境变量。 $ export MFA_CONFIG=/path/to/file 用法 生成令牌 $ mfa gen amazon 999999 列出服务 $ mfa list amazon google git
双因子认证(Two-factor authentication)
仔哥学编程
12-24 1362
简言之,双因素身份验证(也称为“两步验证”)是指身份验证涉及两个阶段——通常是除了常规密码)之外的某种一次性密码(OTP:One-Time Password)。网上银行已经使用这种方法很长一段时间了,最近这种方法也在全网流行起来。还有其他可用的方法,但基于时间一次性密码TOTP)非常常用。有几个移动应用程序支持该标准,Google Authenticator就是其中之一(Android、iOS)下图就是一个使用场景。
探索TOTP:一种安全的身份验证方案
最新发布
gitblog_00055的博客
04-06 372
探索TOTP:一种安全的身份验证方案 项目地址:https://gitcode.com/linsir6/TOTP 在数字化的世界里,确保账户安全至关重要。TOTP(Time-based One-Time Password)项目提供了一种强大而可靠的方法,为您的在线身份提供额外保护层。本文将深入解析TOTP的工作原理、应用及其独特优势,引导您了解并开始使用这一工具。 什么是TOTPTOTP是一种...
TOTP 介绍及基于 C# 的简单实现
dotNET跨平台
05-15 1205
TOTP 介绍及基于 C# 的简单实现IntroTOTP 是基于时间一次性密码生成算法,它由 RFC 6238 定义。和基于事件的一次性密码生成算法不同 HOTP,TO...
双因素认证TOTP原理
zhbi98 的技术 Blogs
01-27 1056
在上面讲到的设备级认证中除了短信验证方式之外,需要使用额外的认证设备银行卡或 U 盾,但是随时携带额外的不通用的认证设备是不便的,10 个银行使用需要额外携带 10 张额外银行卡,所以手机才是最好的替代品。手机与密码就成了最佳的双因素认证方式。其中短信验证码,这种方式很好理解,就是只有账号绑定的手机号能够收取到验证码,所以能够输入正确验证码的一般就是本人了,除非短信被人获取或伪造。除了短信验证码这种方式,还有一种 TOTP 的概念,下面详细来讲解一下 TOTP实现方式。
动态令牌-(OTP,HOTP,TOTP)-基本原理
weixin_44460455的博客
10-23 1540
OTP 是 One-Time Password的简写,表示一次性密码。HOTP 是HMAC-based One-Time Password的简写,表示基于HMAC算法加密的一次性密码。是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法运算出一致的密码TOTP 是Time-based One-Time Password的简写,表示基于时间算法一次性密码
关于Google身份验证器、基于时间一次性密码 (TOTP)算法的初步了解
学以致用 知行合一
08-29 6887
Google Authenticator是基于双因素身份验证 ( 2FA ) 的应用程序,有助于识别用户身份并确认用户声称自己是谁以及他是否真的是这个人。 当您启用两步验证(也称为双重身份验证)时,您会为您的帐户添加额外的安全层。您使用您知道的信息(您的密码)和您拥有的信息(发送到您手机的代码)登录。
【IoT】加密与安全:动态令牌 OTP、HOTP、TOTP 原理解析
热门推荐
产品线负责人
05-24 1万+
1、OTP、HOTP、TOTP 简介 1.1、OTP One-Time Password 简写,表示一次性密码。 1.2、HOTP HMAC-based One-Time Password 简写,表示基于 HMAC 算法加密的一次性密码。是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过 HASH 算法运算出一致的密码。 1.3、TOTP Time-based One-Ti...
物联网安全-动态口令TOTP
会打莎士比亚的猴子的博客
04-12 1869
动态口令学习记录
TOTP动态密码认证功能,让天下无贼!
cto_yf_hu的博客
07-15 4791
据多家媒体报道,勒索500万美元的Darkside病毒是通过泄露的VPN密码进入企业内网的,由此可见使用静态用户名密码的VPN系统存在很大的安全隐患。本文通过对现有的用户认证措施进行分析,论证了使用TOTP动态密码认证的优越性。 1、现行静态固定密码的缺陷 1)自身不安全导致ID盗用 自己不小心泄露或主动分享密码 黑客入侵脱库,即使用户数据库加密,也可以离线破解 黑客利用密码字典在线暴力破解,甚至可以自动识别CAPTCHA 黑客MITM抓包窃听 2)不方便导致用户友好性差 为对抗...
TOTP 介绍及基于C#的简单实现
极客神殿
09-04 490
TOTP 算法是基于 HOTP 的,对于 HOTP 算法来说,HOTP 的输入一致时始终输出相同的值,而 TOTP 是基于时间来算出来的一个值,可以在一段时间内(官方推荐是30s)保证这个值是固定以实现,在一段时间内始终是同一个值,以此来达到基于时间一次性密码生成算法,使用下来整体还不错,有个小问题,如果需要实现一个密码只能验证一次需要自己在业务逻辑实现,只能自己实现TOTP 只负责生成和验证。TOTP 是基于时间一次性密码生成算法,它由。和基于事件的一次性密码生成算法不同。
otp_verify_java.rar_OTP_OTPVerify_TOTP_otp算法_一次性 口令
09-24
OPT一次性动态口令验证算法。根据动态支持TOTP和HOTP验证。
易语言-基于时间一次性密码TOTP算法
06-25
易语言-基于时间一次性密码TOTP算法
totp:基于时间一次性密码算法(rfc6238)
04-06
实现基于时间一次性密码算法TOTP) 可以与例如一起使用。 。 您需要运行Halon 5.5或更高版本,因为使用了base32_decode()和base32_endode()函数。 描述 根据您(Halon系统)和用户已知的秘密,您可以验证...
【IoT】加密与安全:动态密码图解:HOTP 与 TOTP 算法
产品线负责人
05-25 5315
1、简介 本文根据 RFC4226 和 RFC6238 文档,详细的介绍 HOTP 和 TOTP 算法原理实现。 两步验证已经被广泛应用于各种互联网应用当中,用来提供安全性。 对于如何使用两步验证,大家并不陌生,无非是开启两步验证,然后出现一个二维码,使用支持两步验证的移动应用比如 Google Authenticator 或者 LassPass Authenticator 扫一下二维码...
TOTP】基于时间动态密码及其工程实践
ATFWUS的博客
12-07 2604
探究了常见的动态密码实现方式及其底层原理,并基于java做出了工程实践。
TOTP:Time-based One-time Password Algorithm(基于时间一次性密码算法
weixin_34228617的博客
01-08 872
TOTP - Time-based One-time Password Algorithm is an extension of the HMAC-based One Time Password algorithm HOTP to support a time based moving factor. TOTP(基于时间一次性密码算法)是支持时间作为动态因素基于HMAC一次性密码算法的扩展。 ...
TOTP - 邮箱或手机号验证码生成与验证
lizhongyang21的博客
09-29 1851
TOTP Time-based One-time Password algorithm, 是一种共享密钥和当前时间计算一次性密码算法。 使用目的 利用时间戳和邮箱生成一段时间内唯一的验证码。验证时使用用户输入的验证码和一段时间内生成的验证码集合对比,如果在此集合,则证明验证码有效。摆脱使用redis等方式存储和对比验证码。 使用 class Totp { private $salt = 'salt'; // 盐 private $refreshInterval = 30; //每隔
python google auth totp_python基于谷歌身份验证器的动态密码实现
05-24
Google Authenticator是一款基于TOTP算法动态口令生成器,可以生成一次性密码,用于用户的身份验证。而python google auth totp是一个基于python的库,可以实现TOTP算法和HOTP算法,用于生成动态密码。 首先,你需要安装 python google auth totp 库,可以使用 pip install google-authenticator 进行安装。 接下来,你可以使用以下代码来生成动态密码: ```python import pyotp # 生成秘钥 key = pyotp.random_base32() print("Secret Key:", key) # 生成动态密码 totp = pyotp.TOTP(key) password = totp.now() print("Password:", password) ``` 在这个例子中,我们使用 `random_base32()` 方法生成一个基于Base32编码的秘钥,然后使用 `TOTP` 类创建一个TOTP对象。最后,使用 `now()` 方法获取当前时间下的动态密码。 你可以将秘钥保存在数据库中,用于用户的身份验证。当用户登录时,获取保存在数据库中的秘钥,并使用 `TOTP` 类创建一个TOTP对象。然后,与用户输入的动态密码进行比较,如果相同,则可以认为是合法用户。 以上就是python google auth totp的基本使用方法。希望对你有所帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值