使用OTP动态令牌认证

已于 2024-11-13 16:30:12 修改
阅读量3.8k 收藏 20
点赞数 23
分类专栏: Python 文章标签: python
于 2024-11-13 16:27:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44153121/article/details/143745972
版权

为加强网络安全管理,降低帐号被冒用、盗用等带来的风险,有些系统启用OTP手机令牌双因子认证登录,即在原有用户名+密码认证的基础上,增加OTP动态口令认证。基于OTP算法的动态令牌加强了帐号的安全性,简单易用。

1、什么是OTP动态令牌认证?

OTP(One-Time Password)是一种基于共享密钥和时间戳算法的一次性密码。一般每30或60秒产生一个新口令,在客户端的动态口令和服务器的动态口令验证时,要求客户端和服务器能够保持一致的时间,计算的动态口令才能一致。
OTP算法是公开的,所以可以使用市面上任意一种支持OTP的客户端。

实现OTP的算法主要有两种:

  • HOTP(HMAC-Based One-Time Password Algorithm):基于 HMAC 的一次性密码。
  • TOTP(Time-Based One-Time Password Algorithm):基于时间戳的一次性密码。

2、怎么使用OTP动态口令?

2.1、OTP客户端

在手机的应用商店搜索:身份验证器,建议选择微软的Authenticator;或者在微信小程序中搜索:腾讯身份验证器。
图标样式

2.2、添加账号:基本原理是设置共享密钥(key),一般通过扫描二维码方式

二维码内容的格式如下:

otpauth://totp/{label}?secret={secret}&issuer={issuer}

label可以填写用户的名字,secret是经过 Base32 编码后的密钥,issuer是发行者

示例:

otpauth://totp/GitHub:monchickey?secret=EPKCRBXZHDPHOOZH&issuer=GitHub

前面的 otpauth 表示协议,totp 表示采用基于时间的一次性密码,GitHub 说明发行者是 GitHub,后面的格式就是:<用户名>?secret=<密钥 base32 值>&issuer=<发行者>。

包含中文的示例:
otpauth://totp/%E5%8…%B7%20123?secret=EPKCRBXZHDPHOOZH&issuer=%E9…%BF%9D

注:帐号对应的密钥是OTP令牌生成的唯一标识,请勿分享给他人。

2.3、打开身份验证器客户端,查看OTP动态口令

show code

3、示例

3.1、服务器端代码

class OtpServer(object):
    def __init__(self, key):
        if key:
            # base64.b64encode(key.encode('utf-8')).decode('utf-8')
            self.key = key
        else:
            self.key = None

    def verify(self, code):
        """
        验证动态口令
        """
        if self.key is None or code is None or len(code) < 0:
            return False
        try:
            otp = pyotp.TOTP(base64.b32encode(self.key.encode('utf-8')).decode('utf-8'))
            # 当前时间前后刷新周期数(验证码数),防止因网速、用户操作速度等导致的时间不一致
            return otp.verify(code, valid_window=5)
        except Exception as ex:
            return False

    def showqr(self):
        """
        生成二维码,用于OTP客户端扫描方式添加账号
        """
        if self.key is None:
            return ''
        try:
            otp = pyotp.TOTP(base64.b32encode(self.key.encode('utf-8')).decode('utf-8'))
            # otpauth://TYPE/LABEL?PARAMETERS
            uri = otp.provisioning_uri(name='MyTestTOTP', issuer_name='OTP令牌')
            return uri
        except Exception as ex:
            return False

3.2、客户端代码

class OtpClient(object):
    def __init__(self, key):
        if key:
            self.key = key
        else:
            self.key = None

    def create_totp(self):
        if self.key is None:
            return ''
        try:
            otp = pyotp.TOTP(base64.b32encode(self.key.encode('utf-8')).decode('utf-8'))
            code = otp.now()
            print(code)
            return code
        except Exception as ex:
            return None

3.3、模拟使用代码

客户端生成动态口令(微软身份验证器不让截屏,其实不用写代码),服务器端验证口令是否合法

if __name__ == '__main__':
    c = OtpClient('MyTestSecret')
    print(c.create_totp())
    s = OtpServer('MyTestSecret')
    code = input('input code:')
    print(s.verify(code))

run

结果为True说明验证通过

OTP动态令牌的原理
_
01-22 3098
OTP动态令牌是一种新型的强身份认证的信息安全产品,由于其具有使用简单,携带方便,安全性高,美观时尚等优点,已经广泛应用在网银系统,电子办公系统,网络游戏,网络支付等众多领域。 OTP动态密码的产生主要是通过内置在硬件中不可导出的密钥与一个变化因子通过安全算法进行计算完成的。即:算法{密钥(也称为种子),动态因子(时间,事件,冲击响应......)}=OTP口令 算法 可以看到算法有两个输入因子:密钥和动态因子。算法的好坏也决定了OTP的安全程序,一般算法应该考虑几点因素: 权威性:一个算法是需要经
CSDN实训第四天(OTP——动态令牌的实现)
猫咪万岁 的博客
10-31 3000
CSDN实训第四天(OTP——动态令牌的实现) 一、前言 出于对重要文件的保护,产生了 密码 和验证码这一产物。如今验证码有很多形式,Gif动画验证码、手机短信验证码、手机语音验证码、视频验证码等等,但这些验证码都可归为两大类:一次性验证码(HOTP)与二次验证码(TOTP),它们都基于OTP基础演变而来。 详细请参考: 验证码:https://baike.baidu.com/item/%E9%AA%8C%E8%AF%81%E7%A0%81/31701?fr=aladdin 二次验证码:https
Java使用OTP动态口令(每分钟变一次)进行登录认证
08-25
主要介绍了Java使用OTP动态口令(每分钟变一次)进行登录认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
动态令牌-(OTP,HOTP,TOTP)
轻耘智科技CTO 尤胜荣 的专栏
12-27 1936
名词解释和基本介绍 OTP 是 One-Time Password的简写,表示一次性密码。 HOTP 是HMAC-based One-Time Password的简写,表示基于HMAC算法加密的一次性密码。 是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法运算出一致的密码。 TOTP 是Time-based One-Time Password的简写,表示基于时间...
OTP(一次性密码)和短信验证码有什么区别?
最新发布
baidu_25922265的博客
02-06 2294
OTP ,全称 One-Time Password,是一个动态生成的、随机的、一次性的数字或字母,可以用于验证用户的身份,从而授予用户访问权限。* 场景描述:当用户忘记密码并请求重置时,系统会发送 OTP 到用户的注册手机或邮箱,用户需输入该 OTP 以验证身份并重置密码。* 场景描述:用户在电商平台进行支付或修改账户信息时,平台会发送 OTP 到用户的手机或邮箱,用户需输入该 OTP 以确认操作。* 场景描述:在访问政府提供的在线服务(如税务、社保等)时,用户需输入 OTP 以验证身份。
如何使用OTP令牌登录Gitlab
www.andang.cn
08-15 468
动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术,动态口令认证技术包括客户端用于生成口令产生器的动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。
【转】动态口令(OTP认证技术
tpriwwq的专栏
08-18 5658
动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术。
动态口令(OTP认证技术概览
热门推荐
goldboar的专栏
12-13 2万+
动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术,动态口令认证技术包括客户端用于生成口令产生器的,动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。         一、OTP历史溯源
OTP 动态口令验证
方小白
11-25 1万+
OTP 动态口令验证。 简介 动态口令(OTP,One-Time Password)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术。 动态口令认证技术包括客户端用于生成口令产生器的动态令牌,是一个硬件设备,和用于管理令牌及口令认证的后台动态口令认证系统组成。 目前在安全强...
使用 Java 实现 OTP (动态口令)服务
nbsaas-boot基于Request-Response的企业级快速开发框架
01-13 812
OTP 的全称是 One-Time Password,中文常称为“一次性密码”或“动态口令”。它是一种动态生成的短时有效密码,用于身份验证,通常在登录或执行敏感操作时提供额外的安全保障。OTP 广泛应用于 Google、微软、GitHub 等主流平台,以增强用户账户的安全性。一次性使用:每个密码只能使用一次,无法重复。时效性:密码在短时间内有效,过期后无法使用动态生成:密码基于时间或计数器动态生成。
OTP令牌----手机
12-06
文档
MinaOTP-Shell:TOTP身份验证器工具作为终端工具
02-05
MinaOTP-壳 MinaOTP-Shell是一种两因素身份验证工具,可在终端中作为命令行工具运行。 这个命令行工具将为您生成安全的动态2FA令牌,在终端中的add , remove , list , show和import将非常方便。 安装 pip install minaotp 用法 帮助信息 $ mina -h usage: mina [-h] {list,add,remove,show,import} ... MinaOTP is a two-factor authentication tool that runs in the terminal positional argume
OTP 动态口令系统介绍
09-01
ESS动态口令系统是宏基恒信公司自主研发的软件产品,该软件产品是OTP动态口令)的认证服务器,该产品可提供短信动态口令、以及手机软令牌、时间型令牌、挑战应答型令牌的服务器端认证的功能。能够应用在银行、证劵、政府、电信、电力、能源等众多行业身份认证方案中。 产品具有携带方便,甚至基于手机实现无携带,不需像UKEY一样安装控件,操作方便易用等特点,且能够应用到电话系统、软件系统、网络通讯设备等多种应用场景。
yubikey-val, 在PHP中,YubiKey OTP验证服务器.zip
09-18
yubikey-val, 在PHP中,YubiKey OTP验证服务器 YubiKey OTP验证服务器Yubikey服务器( yk val ) 是一个服务器,用于验证Yubikey一次密码( OTPs ) 。 yk是用PHP编写的,用于像Apache这样的web服务器。常规服务器在 doc/vali
otp-auth:Web服务器的一次性密码
05-04
OTP授权 一个简单的应用程序,可让您与nginx一起实施一次性密码授权。 在ngx_http_auth_request_module的支持下安装nginx> = 1.5.4您可以使用以下命令进行检查 nginx -V 2>&1 | grep -qF -- --with-http_auth_request_module && echo "OK" || echo "FAIL" 在Ubuntu / Debian上: sudo aptitude update && sudo aptitude install nginx-extras 克隆存储库 git clone git@github.com:loukash/otp-auth.git 安装python2.7的所有依赖项 pip install -r requirements.txt 建立资料库 python manage.py initdb
OTP.rar_MD5 password_OTP_OTP 加密_otp算法_口令认证
09-24
OTP系统中,用户设备(如手机应用或硬件令牌)会生成一个一次性口令,这个口令是基于当前时间、用户密钥和其他可能的因素计算得出的。服务器端通过同样的算法和用户密钥,结合当前时间生成一个校验口令,只有当...
身份认证OTP动态口令应用案例
安当加密
12-26 2971
随着互联网技术的发展,电子商务、企业办公、电子银行等互联网应用正在日益紧密的和我们的工作、生活相关联。在我们享受互联网带来便利的同时,却一直被互联网安全问题困扰着,有了杀毒软件来帮我们查杀病毒,有了防火墙来帮我们阻止可能的网络威胁等等,然而除了这些来自网络本身的安全威胁外,用户身份的认证(客户端终端安全问题)也成了互联网安全所面临的重要问题。 静态口令(即通常的账号和密码登录)进行身份验证给具有安全隐患 为了便于记忆,用户多选择有特征作为密码,容易被猜测和破解; 黑客可以从网上或电话线上截获静态密
otp手机令牌Android10,SmartBank
weixin_30714077的博客
05-29 491
v19.7版更新说明(2021-03-03)New feature: Book an appointment to branches如发现版本老旧,欢迎邮件反馈toususpam#liqucn(dot)com,或移步SmartBank官网下载最新版介绍Az OTP Bank Android alkalmazása segítségével könnyedén és bárhol igénybe t...
动态令牌认证
seaboat——a free boat on the sea.(公众号:远洋号)
03-13 3481
令牌可以使用户证明自己的身份后获得受保护资源的访问权。令牌会产生一个随机但专用于某个用户的动态口令,其数字只有对指定用户在特定的时刻有效。用户的静态密码+令牌动态口令,使得用户的电子身份很难被模仿、盗用或破坏。对每个用户不同时间的口令,都是随机的,均匀分布在输出范围内。同一令牌的相邻产生的动态口令之间没有相关性,不可能从前一个口令推导出后一个口令。令牌生成的是无法预知的动态口令,并且是一次性的,
坚石ET系列动态令牌:高安全性认证解决方案
此外,ET系列动态令牌提供易于集成的认证接口,支持多种操作系统和数据库,便于快速将OTP集成到现有认证系统中。" ET系列动态令牌的核心在于其使用一次性密码技术,这增加了网络安全性,因为每次登录或操作时所需的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值