[信息安全] 4.一次性密码 && 身份认证三要素

  • 时间:
  • 浏览:4
  • 来源:大发5分快乐8APP下载_大发5分快乐8APP官网

总结来说,2FA而是使用了身份认证中的4个 偏离 。

TOTP(Time-Based One Time Password)Wiki:https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm

首先解释下什么是身份认证?实在 很简单,而是让对方相信你就总要你。越来越 怎么让对方相信你就总要你呢?按照你能提供的信息的等级来划分,大致有如下这些信息都时需证明你就总要你我本人:

2SV vs 2FA (1):https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference

在信息安全领域,一般把Cryptography称为密码,而把Password称为口令。日常用户的认知中,以及亲戚朋友 开发人员沟通过程中,绝大多数被称作密码的东西实在 总要Password(口令),而总要真正意义上的密码。本文保持某些语义,采用密码来代指Password,而当密码和口令同时老出时,用英文表示以示区分。

调用一下试试看:

2SV vs 2FA (2):https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/

OTP(One Time Password)Wiki:https://en.wikipedia.org/wiki/One-time_password

什么场景的流程一般总要在用户提供了账号+密码的基础上,让用户再提供4个 一次性的验证码来提供一层额外的安全防护。通常情况汇报下,某些验证码是4个 6-8位的数字,只有使用一次刚刚仅在很短的时间内可用(比如5分钟以内)。

TOTP(Time-Based One Time Password)RFC:https://tools.ietf.org/html/rfc6238

简单的介绍了下一次性密码的原理以及其应用场景,完整性的代码请移步:https://github.com/linianhui/code/blob/master/src/SecurityHelper.cs 。如有错误之处,欢迎指正!

2SV有个孪生兄弟2FA(双因素认证:Two Factor Authentication),越来越 关于2SV和2FA有什么区别呢,比如让用户在“用户名+密码”的基础上提供的额外的一次性密码,关于某些一次性密码到底是属于“你所知道的信息”还是“你所拥有的信息”呢?并越来越 明显的区分界限,有兴趣的都时需看看这里的讨论:https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference 。 刚刚你实在 某些一次性密码属于“你所知道的信息”,越来越 让他认为它是2SV;刚刚你实在 某些一次性密码属于“你所拥有的信息”,越来越 让他认为它是2FA。

HOTP(HMAC-Based One Time Password)RFC:https://tools.ietf.org/html/rfc4226

OTP是One Time Password的简写,即一次性密码。在平时生活中,亲戚朋友 接触一次性密码的场景非常多,比如在登录账号、找回密码,更改密码和转账操作等等什么场景,其中某些常用到的最好的依据有:

其中key是HOTP算法时需的4个 密钥(不可泄露);counter是每次生成HOTP的刚刚使用的计数器,使用一次就更换4个 。刚刚就都时需用来生成OTP了,第一此截取了6位,第二此截取了8位。

调用一下试试看:

两步验证现在是4个 加上强认证安全方面广泛使用的4个 外理方案。比如Google的2SV(https://www.google.com/landing/2step/),Microsoft的2SV(https://support.microsoft.com/zh-cn/help/12408/microsoft-account-about-two-step-verification)等等,通常的做法是当用户输入了"用户名+密码"的基础上,会让用户再提供4个 一次性密码(以短信、邮件,刚刚动态密码生成器app的最好的依据发放给用户)。再有比如在某些服务中时时需户额外设置的安全难题图片,比如“你的出生地在哪?”等等此类。

HOTP是HMAC-Based One Time Password的缩写,即是基于HMAC(基于Hash的消息认证码)实现的一次性密码。算法细节定义在RFC4226(https://tools.ietf.org/html/rfc4226),算法公式为: HOTP(Key,Counter)  ,拆开是 Truncate(HMAC-SHA-1(Key,Counter))

One Time Password System:https://tools.ietf.org/html/rfc2289

HOTP(HMAC-Based One Time Password) Wiki:https://en.wikipedia.org/wiki/HMAC-based_One-time_Password_Algorithm

TOTP是Time-Based One Time Password的缩写。TOTP是在HOTP的基础上扩展的4个 算法,算法细节定义在RFC6238(https://tools.ietf.org/html/rfc6238),其核心在于把HOTP中的counter加上了时间T,都时需简单的理解为4个 当前时间的时间戳(unixtime)。一般实际应用中会固定4个 时间的步长,比如100秒,100秒,120秒等等,也而是说再某些步长的时间内,基于TOTP算法算出的OTP值是一样的。废话越多说,看看TOTP算法的核心代码:

本文版权归作者和博客园共有,欢迎转载,但未经作者同意时需保留此段声明,且在文章页面明显位置给出原文连接,刚刚保留追究法律责任的权利。

MFA/2FA(Multi Factor Authentication) Wiki:https://en.wikipedia.org/wiki/Multi-factor_authentication

C#实现基于HMAC的OTP的代码: