U2F认证浅谈以及TOTP二次认证!

最新推荐文章于 2024-07-27 14:07:25 发布
最新推荐文章于 2024-07-27 14:07:25 发布
阅读量256 收藏
点赞数
分类专栏: 其它 文章标签: 网络安全 密码学 阿里云 github
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53690059/article/details/134452730
版权

如果用过阿里云RAM版本或者说大伙有用过GitHub,最近的U2F是让我大开眼界了,今天我们来浅浅的聊一下U2F叭!
起因也是因为之前用阿里云RAM的时候没有出现过U2F密钥认证,当时就用连了数据线的手机扫了一下阿里云的验证码通过,当时不知道是啥,结果第二次使用的时候,一直让我用密钥插上去,给我搞得一脸,二脸,三脸懵逼!结果只能让CTO帮我给账户U2F认证消除了重新认证了,这里先给大家来一个预防针,如果碰到了需要U2F认证的网站或者账户,可以先准备U盘,如果没有U盘的话,用手机下一个Google Authenticator或者Microsoft Authenticator,具体操作就是用他们的软件去扫描需要认证的二维码,然后将你的密码权限交给软件去控制就ok了!

那么首先什么是U2F呢?先给一个GPT的回答:

U2F,全称为Universal 2nd Factor,是一种开放标准,用于强化多因素身份验证(Multi-Factor Authentication,MFA)的安全性。U2F由FIDO联盟(Fast Identity Online Alliance)制定,该联盟的目标是提高互联网身份验证的安全性。

U2F的原理:

  1. 硬件令牌: U2F 使用硬件令牌作为第二因素。这通常是一个物理设备,如USB密钥或NFC(近场通信)设备。

  2. 公开/私有密钥对: U2F 令牌包含一个密钥对,分别是公开密钥和私有密钥。公开密钥存储在服务器上,而私有密钥则安全地存储在硬件令牌中。

  3. 注册过程: 用户在注册时,将令牌插入计算机,然后通过与服务器通信,将公开密钥注册到用户账户上。此过程确保服务器知道该特定硬件令牌与特定用户关联。

  4. 验证过程: 在登录时,用户再次插入硬件令牌。服务器向令牌发送挑战(challenge),令牌使用存储的私有密钥对挑战进行签名,并将签名发送回服务器。服务器使用事先注册的公开密钥验证签名,从而确认用户的身份。

U2F的优点:

  • 强安全性: 由于私有密钥存储在硬件令牌中,即使用户的计算机被恶意软件感染,攻击者也无法获取私有密钥。

  • 免受网络钓鱼攻击: U2F 在注册和验证时使用的挑战-响应机制,有助于防止网络钓鱼攻击。

  • 简便性: 用户只需插入硬件令牌并按照简单的步骤执行操作,无需记忆复杂的密码。

  • 标准化: 作为一个开放标准,U2F获得了广泛支持,许多在线服务和网站已经集成了这一标准。

U2F的一个常见应用是在双因素身份验证(2FA)中,与传统的用户名和密码组合一起提供更强大的安全性。

TOTP是啥:

时间基础的一次性密码(Time-based One-Time Password,TOTP)是一种用于实现两步验证(Two-Factor Authentication,2FA)的技术。TOTP的选择通常是基于其一些特性和优势:

  1. 动态性: TOTP生成的验证码是动态变化的,通常每30秒变化一次。这使得即使恶意用户截获了一次性密码,也仅对短时间内有效,减小了安全风险。

  2. 无需网络连接: 生成TOTP的过程是在设备本地完成的,无需与服务器进行实时通信。这意味着即使用户的设备没有网络连接,仍然能够生成有效的验证码,提高了灵活性。

  3. 基于共享密钥: TOTP的生成依赖于共享密钥(secret key)。服务器和用户的设备都知道这个密钥,但它并不会直接传输。这增加了系统的安全性,因为即使截获了一次性密码,没有共享密钥,攻击者无法生成有效的验证码。

  4. 开放标准: TOTP是开放标准,由IETF(Internet Engineering Task Force)定义在RFC 6238中。这种标准化有助于不同厂商和服务提供商之间的兼容性,使得用户可以使用同一身份验证应用在不同的服务上启用两步验证。

  5. 方便性: TOTP的实施通常非常方便,用户只需在设备上安装一个支持TOTP的身份验证应用(如Google Authenticator、Microsoft Authenticator等),然后将设备与服务关联。

  6. 广泛支持: 许多在线服务和应用都支持TOTP,使其成为一种广泛应用的两步验证机制。

官方解释其实感觉也是能够看懂的,但是这里我浅浅谈一下我的理解bua!

U2F的强行解释!

举个例子,比如说你拿着银行卡去银行柜台取钱,你将银行卡和密码都输入正确了,但是为了证明这个钱是你的,你需要拿着你的身份证给柜员并且经过人脸识别,通过后你们就正式建立连接了!

欧克,现在对了U2F有了一个大概认知了,那么我们来结合一下我上述所提到的google或是微软的软件是怎么将我们的手机变为U盘远程认证的吧!

软件是如何实现二次验证的

首先你第一次进行登录认证的时候,你已经成功登录了网站,此时其实你已经处于登录状态了,只是还没有与你的硬件进行一个绑定,在你扫描二维码时,你会获取到你网站的账号密码,并且与你的硬件进行绑定,硬件与你的网站账号密码进行绑定,然而你以为这是U2F吗?并不!通过上下文你应该明白了,U2F必须用硬件去进行绑定,然而实际上我们还是通过扫描二维码进行绑定的,通过网络传输的,所以咱们这是TOTP,并且我们能够看到在软件上会生成30秒的临时code,需要填入到GitHub里,在你扫描完成后,软件会生成一个6位数的随机code,你填入code后,为了避免软件卸载问题,GitHub还友好的给你提供了一份备份代码,你可以复制或者进行下载,以备不时之需。从此以后GitHub的两步验证就会成功启用。每次登录时,除了用户名和密码外,您还需要提供Authenticator应用中当前生成的TOTP验证码。

那么为什么没有U2F的认证呢?因为!他贵啊!为什么要二次验证呢?你说安全吧?其实你密码都被人知道了你要是没开启二次验证效果是一样的,感觉还不如邮箱电话验证来的快!

参考:【官方双语】USB令牌登录是啥?(U2F原理解释) #电子速谈_哔哩哔哩_bilibili

Xsed
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
U2F协议解析
liuke
10-29 5347
服务器关联的密钥对 U2F设备产生的密钥对应该是服务器关联的,一对密钥对应一个服务器,而不是一个U2F设备对应一个服务器。在 注册的时候,服务器给U2F设备传入服务器相关信息,U2F设备产生一对密钥对,将此密钥对和服务器相关信息相 关联,给此密钥对分配一个key handle,将其和公钥传给服务器,服务器将注册的账户信息,公钥,key handle 全部关联在一起并保存。 当用户需要使用
u2f_demo_server:在 Scala 中使用 Play Framework 的 U2F 演示服务器
06-22
u2f_demo_server 在 Scala 中使用 Play Framework 的 U2F 演示服务器 系统配置 该服务器需要: Play 框架:在和进行测试 mongodb:使用 2.0.2 版测试 服务器配置 您唯一需要配置的是文件 app/Global.scala 中的主机 如果您在本地运行,默认主机是您必须将其添加到您的主机文件并使用此地址访问接口进行测试。 如果您想使用另一个本地地址,请记住必须有一个正确的 tld,否则身份验证可能会失败。
Universal 2nd Factor (U2F) 概述(3)-目标:建立强大的安全认证和隐私保护
WHO ARE YOU
08-28 840
目标:建立强大的安全认证和隐私保护 U2F体系的设计提供了用户在Web上强大的安全认证能力和隐私保护能力。用户只需使用一个第二因子“U2F设备”即可做到。 当用户在一个特定的源网站上使用自己的网站帐号注册U2F设备时,比如http://www.company.com。设备会针对此源网站生成一对新的秘钥对,此秘钥对只能在此源网站使用,并且设备会将公钥提交到网站服务器与用户的帐号进行绑定。
Universal 2nd Factor (U2F) 概述(8)-验证U2F设备的真伪性
WHO ARE YOU
11-30 1387
U2F协议是开放的,然而为了高安全性,一个U2F设备必须是建立一定的标准。比如,Key Handle中包含了私钥和厂商的特定的规则,必须先经过认证再执行,比如FIDO认证。还有就是选择的安全芯片必须足够保证安全。出于这些考虑,依赖方需要标识这些设备的的类型,并且可以通过认证信息数据库信息验证的方式检查设备的认证属性是否可以满足要求。比如,金融服务网站可能只会会接受硬件保护的U2F设备进行验证,而其他
Universal 2nd Factor (U2F) 概述(2)-背景
WHO ARE YOU
08-24 919
背景 FIDO联盟的任务就是改造线上强认证的内在本质: 1.开发和定义出开放的、可扩展的、可互操作的技术机制规范 来取代用户基于密码的线上安全认证服务; 2.操作行业项目,以确保全球成功采用规范; 3.向公认的标准开发组织提交成熟的技术规范以进行正式标准化; 推动FIDO联盟努力的核心理念是: 1)简单实用 2)隐私保护和安全 3)标准化 主要的目标是让线上的服务以及网
了解 U2F 安全钥匙
月来better
02-26 1059
U2F (Universal 2 Factor) 安全钥匙 U2F(Universal 2 Factor)标准是由Yubico公司和Google发起的FIDO(Fast IDentity Online)联盟推出的标准,旨在提供一个方便的免驱动、通用型的密码认证令牌,期望能在让用户在有U2F认证的情况下,即使用短密码,也能实现高强度的认证。 而且这种认证是不依赖中心服务器的,完全基于公私钥/PKI体系。 U2F的物理层可以是USB-HID,也可以是NFC(目前Yubikey Neo支持),也可以是BT
动态口令认证系统实验.rar
01-26
5. **动态口令算法**:理解并实现动态口令生成的算法,如HOTP(HMAC-Based One-Time Password)或TOTP(Time-Based One-Time Password),这两种算法基于哈希消息认证码(HMAC)和时间戳生成一次性口令。 6. **硬件...
一次性口令身份认证的设计与实现c++
10-29
本项目是关于使用C++编程语言实现基于时间的一次性口令(TOTP)身份认证程序。 TOTP是一种OTP算法,其工作原理基于当前的时间戳。它使用哈希函数、密钥和时间滑动窗口来生成动态密码。以下是实现OTP身份认证的关键...
authenticator:Firefox插件,可生成用于两因素认证的TOTP
02-05
Firefox插件可生成用于两要素认证的TOTP 此附加组件显示使用2因子认证/ 2步骤验证设置的帐户的TOTP(定时一次密码)。 在插件的选项页面中输入站点名称和密钥,然后单击检查以添加站点。 代码将显示在工具栏图标中...
meteor-mfa:流星的多因素身份验证和无密码(支持U2F
05-22
流星的多重身份验证和无密码,支持U2F硬件密钥以及OTP。 什么是U2F? 创建此程序包是为了添加对U2F aka硬件密钥的支持。 硬件密钥被广泛认为是多因素身份验证的最强形式。 他们要求用户将物理密钥插入其设备才能...
otp_verify_java.rar_OTP_OTPVerify_TOTP_otp算法_一次性 口令
09-24
OTP(One-Time Password)是一种基于时间、事件或挑战/应答机制的一次性密码技术,用于提高用户身份验证的安全性。OTP确保每个密码只能使用一次,从而降低了密码被重放攻击的风险。在Java环境中,我们可以使用不同的...
使用OTP动态口令(每30s变一次)进行登录认证
热门推荐
weixin_40010498的博客
03-22 1万+
GIT地址:https://github.com/suyin58/otp-demo 在对外网开放的后台管理系统中,使用静态口令进行身份验证可能会存在如下问题: (1) 为了便于记忆,用户多选择有特征作为密码,所有静态口令相比动态口令而言,容易被猜测和破解; (2) 黑客可以从网上或电话线上截获静态密码,如果是非加密方式传输,用户认证信息可被轻易获取; (3) 内部工作人员可通过合法授权取得用户密码...
FIDO U2F Message协议介绍
WHO ARE YOU
08-11 1813
原文链接:http://blog.sina.com.cn/s/blog_625033800102vzsk.html 1.U2F 消息封包 U2F协议是基于请求-响应方案的,当请求者发送一个请求消息到U2F设备中时,U2F会返回一个响应消息给请求者。在现在这一版的U2F协议中,消息的封包是基于ISO7816-4:2005扩展APDU格式。 请求消息封包的格式如下:
[FIDO]U2F Message协议介绍
詹天佐
12-18 2649
1.U2F 消息封包 U2F协议是基于请求-响应方案的,当请求者发送一个请求消息到U2F设备中时,U2F会返回一个响应消息给请求者。在现在这一版的U2F协议中,消息的封包是基于ISO7816-4:2005 扩展APDU格式。 请求消息封包的格式如下: CLA INS P1 P2 LC1 LC2 LC3 响应消息的格式如下: SW1 SW2 2.注册消息 2.1注册消息 U
Universal 2nd Factor (U2F) 概述
WHO ARE YOU
08-24 2458
Universal 2nd Factor (U2F) 概述 FIDO联盟建议标准 2017-04-11 摘要 FIDO U2F 协议为应用依赖方的终端用户提供了一个强大的第二因子安全认证。减少了应用依赖方对于密码的依赖性。这个密码甚至可以简单到使用4位的数字PIN码。终端用户只需要携带一个支持U2F的设备即可在所有支持此协议的应用依赖方使用。用户获得了这个方便单一的钥匙扣设备,既方便
GitHub 宣布支持 U2F 两步认证
weixin_34293246的博客
06-06 160
近日,GitHub 宣布支持 FIDO Universal 2nd Factor (U2F) 认证,并鼓励开发者也在他们自己的应用中支持 U2F 认证U2F 是一种实现两步认证的开放认证标准。用户在使用支持 U2F 标准的物理设备 (如 USB Key) 时,输入用户名、密码,然后插入 Key 触摸一下就可以登录认证了。 说起来,这好像跟我们此前用...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8349
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全自学从入门到精通的制胜攻略!!!
最新发布
2301_77160226的博客
07-27 113
在信息时代,网络安全已成为至关重要的领域。越来越多的人希望通过自学掌握这门技术,开启充满挑战与机遇的职业道路。
密码学原理精解【8】
基础数学与应用数学
07-17 976
信息学中的熵,特别是在信息论中,用于量化信息的不确定性或随机性。熵的计算是基于随机变量的概率分布来进行的。HX−∑i1nPxilog⁡2PxiHX−i1∑n​Pxi​log2​Pxi​))]其中,X 表示随机变量,n 是 X可能取值的总数,PxiP(x_i)Pxi​是 X取值为xix_ixi​的概率,log⁡2\log_2log2​表示以2为底的对数。
gitlab二次身份认证如何登录
09-16
要使用GitLab的二次身份认证登录,您需要先设置和启用该功能。以下是具体步骤: 1.登录GitLab账号并进入个人设置页面。 2.在左侧导航栏中,找到“安全”选项并点击。 3.在安全页面下,找到“二次身份认证”部分,点击“启用”按钮。 4.启用后,会出现一个二维码,以及一个密钥供您备用。 有两种主要的身份验证方法可供选择: -基于时间的一次性密码(TOTP):使用手机上的身份验证器应用程序(如Google Authenticator)扫描二维码,并将生成的验证码输入到GitLab中进行验证。 -基于通用认证U2F):如果您有支持U2F的硬件设备(如YubiKey),则可以通过将其插入计算机并按照屏幕上的指示进行认证。 请注意,这些设置一旦启用,您每次登录GitLab都需要进行二次身份认证。确保将备份密钥保管妥善,以防手机或硬件设备丢失。 这样,您就成功设置了GitLab的二次身份认证登录,并提高了账号的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值