可能已經對「基於時間的一次性密碼」(TOTP) 這個術語有所了解,與「雙重身份驗證」(FA) 或「多重身份驗證」(MFA) 有關。
TOTP 的含義
「基於時間的一次性密碼」是指在形成後,僅在 30-90 秒內有效的密碼,這些密碼是根據共享的秘密值和系統當前時間生成的。
密碼幾乎總是由六位數字組成,每 30 秒更改一次。另一方面,一些 TOTP 的實現使用四位數字代碼,這些代碼在 90 秒後失效。
在 TOTP 算法中使用開放標準,這個標準詳細說明在 RFC 6238 中。
什麼是共享秘密?
TOTP 認證使用以共享秘密的形式存在的秘密金鑰,該金鑰在客戶端和伺服器之間共享。
在肉眼看來,共享秘密似乎是一個以 Base32 表示的字符串,類似於以下內容:
KRUGS4ZANFZSAYJAONUGC4TFMQQHGZLDOJSXIIDFPBQW24DMMU======
計算機能夠理解和理解信息,即使它的呈現方式對人類來說並不易讀。
客戶端和伺服器在單次傳輸秘密後,均在各自系統上安全存儲共享秘密的副本。
如果對手能夠發現共享秘密的值,那麼他們將能夠構造出自己的唯一一次性密碼,這是合法的。因此,每個 TOTP 的實現都需要特別注意以安全的方式存儲共享秘密。
什麼是系統時間?
每台計算機和手機中都有一個時鐘,用於測量所謂的 Unix 時間。
Unix 時間是以自 1970 年 1 月 1 日 00:00:00 UTC 起經過的秒數來計算的。
Unix 時間看起來只是一串數字:
1643788666
然而,這個小數字非常適合生成一次性密碼,因為大多數使用 Unix 時間時鐘的電子設備彼此之間的同步性足夠好。
TOTP 認證協議的實現
不建議使用密碼。然而,通過將傳統密碼與基於時間的一次性密碼 (TOTP) 結合,可以提高安全性。這種組合稱為雙重身份驗證或 2FA,可用於安全地驗證帳戶、虛擬私人網絡 (VPN) 和應用程序。
TOTP 可以在硬件和軟件令牌中實現:
• TOTP 硬件令牌是一個顯示當前代碼的小屏幕的實體鑰匙鏈
• TOTP 軟件令牌是一個在手機屏幕上顯示代碼的移動應用程序
無論是使用軟件令牌還是硬件令牌都沒有區別。使用兩種不同的身份驗證形式的目的是增加對在線帳戶的保護級別。在雙重身份驗證期間,可以使用一次性密碼生成器來獲取訪問帳戶的權限。無論是擁有鑰匙扣還是配備身份驗證應用的智能手機,該生成器均可使用。
基於時間的一次性密碼如何運作?
共享秘密的值包含在每次基於時間的一次性密碼 (TOTP) 的生成中,這取決於當前時間。
為了生成一次性密碼,TOTP 方法考慮了當前的 Unix 時間和共享秘密值。
在基於 HMAC 的一次性密碼 (HOTP) 方法中,計數器被當前時間的值替換,這是基於時間的一次性密碼算法的版本。
一次性密碼 (TOTP) 技術基於一個哈希函數,該函數在給定不確定長度的輸入時,生成固定長度的短字符字符串。這種解釋避免了過多的技術語言。如果僅有哈希函數的結果,則無法重新創建用於生成它的原始參數。這是哈希函數的一個優勢。
需要記住的是,TOTP 提供的安全性高於 HOTP。使用 TOTP 時,每 30 秒生成一個全新的密碼。使用 HOTP 時,直到輸入並使用了上一個密碼後,才會生成新密碼。HOTP 的一次性密碼在身份驗證後仍然有效,這為黑客提供了成功攻擊的重大機會。
多重身份驗證 (MFA)
用戶必須首先在任何支持基於時間的一次性密碼的多重身份驗證 (MFA) 系統中註冊其 TOTP 令牌,才能使用該設備連接到其帳戶。
某些 TOTP 軟件令牌需要為每個帳戶註冊不同的 OTP 生成器。這意味著如果將兩個帳戶添加到身份驗證應用中,該程序將每 30 秒生成兩個臨時密碼,每個帳戶一個。單個 TOTP 軟件令牌(身份驗證程序)可以支持無限數量的一次性密碼生成器。單獨的一次性密碼生成器在一個帳戶的安全性受到威脅時,能保護所有其他帳戶的安全。
要使用 2FA,必須在 TOTP 令牌和安全系統之間創建並共享一個秘密。然後,安全系統的秘密必須傳遞給令牌。
如何將共享秘密發送到令牌?
通常,安全系統會創建一個 QR 碼,並要求用戶使用身份驗證應用掃描它。
這種類型的 QR 碼是長字符串的視覺表示。共享秘密大致上是這個長序列的一部分。
當用戶使用身份驗證應用掃描 QR 碼時,軟件將字符串化圖像並提取秘密。身份驗證程序現在可以利用共享秘密生成一次性密碼。
在註冊 TOTP 令牌時,秘密僅發送一次。許多關於竊取私鑰的擔憂得以緩解。對手仍然可以竊取秘密,但他們必須首先物理竊取令牌。
即使在未連接到互聯網的情況下也能運作!
使用 TOTP 技術時,無需在智能手機或物理密鑰上保持活動的互聯網連接。
TOTP 令牌只需獲取一次共享秘密值。安全系統和 OTP 生成器因此可以在不需要通信的情況下生成後續的密碼值。因此,基於時間的一次性密碼 (TOTP) 即使在計算機關閉時也能運作。
日本電話卡推介 / 韓國電話卡推介
一㩒即做:香港網速測試 SpeedTest HK
