xlI28資訊網——每日最新資訊28at.com
什么是一次性密碼 OTP �����?
一次性密碼(One Time Password)�,簡稱 OTP��,是只能使用一次的密碼���。每次做身份認證時都會生成一個新的密碼����,在使用一次之后立即失效�,不能重復使用。這種密碼只能使用一次��,因此即使攻擊者能夠竊取到密碼����,也無法再次使用該密碼進行身份認證。xlI28資訊網——每日最新資訊28at.com
一次性密碼的優點
- 安全性高���,一次性密碼只能使用一次��,所以即使攻擊者能夠截獲密碼��,也無法再次使用該密碼進行第二次認證��。
- 易于使用,一次性密碼通常是通過短信�、電子郵件或專用的身份驗證應用程序發送給用戶的��,通常是4到8位的數字、字母或數字字母組合����,用戶只需要輸入收到的密碼并且很方便輸入�。
- 無需記憶�����,與傳統的靜態密碼不同�����,用戶不需要記住一次性密碼,降低了用戶的認知負擔�,并減少了因忘記密碼而導致的問題�����。
接下來看一下一次性密碼實現的幾種方式。xlI28資訊網——每日最新資訊28at.com
基于時間的一次性密碼(Time-based One-Time Password���,TOTP)
密碼的有效性依賴當前的時間,每個密碼都有一個固定的有效期���,例如30秒或60秒。在這個時間窗口結束后���,密碼會自動失效��,系統會生成一個新的密碼��。xlI28資訊網——每日最新資訊28at.com
這種方法的優點是不依賴于網絡連接,因此即使在沒有網絡連接的情況下,用戶也可以生成密碼�。這種方法的缺點是對時間的同步要求較高���,需要客戶端和服務器之間的時間保持精確同步���,并且用戶必須在指定的時間窗口內輸入密碼�����,否則密碼就會失效。xlI28資訊網——每日最新資訊28at.com
基于哈希的一次性密碼(Hash-based One-Time Password,HOTP)
密碼的生成依賴一個密鑰和一個計數器��。每當用戶請求一個新的密碼時��,計數器就會增加�����,然后使用哈希函數和密鑰生成一個新的密碼。這種方法的優點是不依賴時間,因此用戶可以在任何時間輸入密碼�����。相應的缺點是如果計數器的值在服務器和用戶設備之間不同步����,就可能導致問題。xlI28資訊網——每日最新資訊28at.com
基于短信的一次性密碼(SMS-based One-Time Password,SOTP)
密碼需要通過短信發送給用戶�,當用戶需要進行身份認證時����,系統會發送一個密碼到用戶的手機���。這種方法的優點是很方便直觀��,相應的缺點是依賴手機網絡,如果用戶沒有手機信號或者手機被盜,就無法接收密碼����。此外�,這種方法也容易受到短信劫持的攻擊。xlI28資訊網——每日最新資訊28at.com
基于電子郵件的一次性密碼(Email-based One-Time Password,EOTP)
密碼通過電子郵件發送給用戶���。與基于短信的一次性密碼類似,這種方法的優點是很容易理解和使用。相應的缺點是依賴電子郵件,如果用戶無法訪問自己的電子郵件�,就無法接收密碼����。此外�����,這種方法也容易受到電子郵件劫持的攻擊����。xlI28資訊網——每日最新資訊28at.com
理論上來說����,一次性密碼是最安全的。但目前還沒有理想的一次性密碼的實現方式,大多數情況下,一次性密碼的使用場景還是用于輔助身份認證��。xlI28資訊網——每日最新資訊28at.com
因為 TOTP 是標準化的協議并且被廣泛采用����,所以有很多對應的移動應用或者 web 應用實現,被稱為身份驗證器應用�����,例如 Google Authenticator�、Microsoft Authenticator 等�����。Golang 也有很多優秀的三方庫可以幫助我們快速實現 TOTP 的服務端實現�,其中比較有代表性的是 pquerna/otp 庫��,接下來就使用這個庫來演示一下 TOTP 的服務端實現流程�����。xlI28資訊網——每日最新資訊28at.com
為用戶生成 TOTP Key
用戶開啟雙因子認證時,為用戶生成 TOTP Key���,用于生成 TOTP 密碼。將這個密碼保存在數據庫或者秘鑰管理系統中�����,生成 key 的關鍵代碼如下:xlI28資訊網——每日最新資訊28at.com
key, err := totp.Generate(totp.GenerateOpts{ Issuer: "Github", AccountName: "user@example.com", Period: 30, Digits: otp.DigitsSix, Algorithm: otp.AlgorithmSHA1, })
這幾個參數的意思如下:xlI28資訊網——每日最新資訊28at.com
- Issuer 意思是應用名稱���,例如 Github����。
- AccountName 意思要給哪個用戶生成 key。
- Period 意思是 TOTP 密碼的有效時間���,也是不同 TOTP 密碼的生成時間間隔,一般為 30 秒����。
- Digits 意思是生成的密碼長度,一般為 6 位��。
- Algorithm�,用于 HMAC 簽名的算法,默認是 SHA1�����。
把密鑰和密碼生成規則分享給用戶
通常是將秘鑰和密碼規則信息以二維碼的形式展示給用戶����,用戶使用身份驗證器應用掃描二維碼保存相關信息并且生成密碼。二維碼中的內容格式一般如下:xlI28資訊網——每日最新資訊28at.com
otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JMxlI28資訊網——每日最新資訊28at.com
為用戶提供“恢復碼” Recovery Codes
生成“恢復碼” Recovery Codes (使用隨機生成的字符串即可)存儲到數據庫或者秘鑰管理系統中�。當用戶不能訪問自己的 TOTP 設備(例如將 TOTP 應用中的 TOTP 秘鑰刪除了����、將 TOTP 應用卸載了、手機丟失了等)時�����,就無法登錄自己的帳戶了����。因為這種情況比較常見,所以很多網站都會給用戶提供“備份代碼”或“恢復代碼”�,并且每個只能使用一次�����,可以臨時用來代替 TOTP 密碼。xlI28資訊網——每日最新資訊28at.com
校驗用戶輸入的 TOTP 密碼
用戶再次登錄后��,觸發雙因子認證�����,要求用戶輸入 TOTP 密碼,服務端檢驗這個密碼���。校驗的關鍵代碼如下:xlI28資訊網——每日最新資訊28at.com
// 驗證一次性密碼isValid := totp.Validate(passcode, key.Secret())
模擬生成密鑰、校驗密碼的代碼
package mainimport ( "fmt" "time" "github.com/pquerna/otp" "github.com/pquerna/otp/totp")func main() { // 生成密鑰 key, err := totp.Generate(totp.GenerateOpts{ Issuer: "Github", AccountName: "user@example.com", Period: 30, Digits: otp.DigitsSix, Algorithm: otp.AlgorithmSHA1, }) if err != nil { panic(err) } fmt.Println("Secret URL: ", key.URL()) // 模擬生成一個一次性密碼 now := time.Now() passcode, err := totp.GenerateCode(key.Secret(), now) if err != nil { panic(err) } // 驗證一次性密碼 valid := totp.Validate(passcode, key.Secret()) if valid { fmt.Println("Valid passcode!") } else { fmt.Println("Invalid passcode!") }}
本文鏈接:http://www.www897cc.com/showinfo-26-81255-0.html使用 Golang 實現基于時間的一次性密碼 TOTP
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系��,我們將在第一時間刪除處理�。郵件:2376512515@qq.com
上一篇: 聊一聊 NPM 依賴管理的復雜性
下一篇: 為什么有 HTTPS?因為 HTTP 不安全!HTTPS 如何實現安全通信��?
津公網安備 12010102000574號