基于时间的一次性密码算法

✍ dations ◷ 2025-09-17 02:57:41 #计算机访问控制,密码算法,网际协议

基于时间的一次性密码算法(TOTP)是一种根据预共享的密钥与当前时间计算一次性密码的算法。它已被互联网工程任务组接纳为RFC 6238标准,成为主动开放认证(英语:Initiative For Open Authentication)(OATH)的基石,并被用于众多多重要素验证系统当中。

TOTP是散列消息认证码(HMAC)当中的一个例子。它结合一个私钥与当前时间戳,使用一个密码散列函数来生成一次性密码。由于网络延迟与时钟不同步可能导致密码接收者不得不尝试多次遇到正确的时间来进行身份验证,时间戳通常以30秒为间隔,从而避免反复尝试。

在特定的多重因素验证应用中,用户验证步骤如下:一位用户在网站或其他服务器上输入用户名和密码,使用运行在本地的智能手机或其他设备中的TOTP生成一个一次性密码提交给服务器,并同时向服务器输入该一次性密码。服务器随即运行TOTP并验证输入的一次性密码。为此,用户设备与服务器中的时钟必须大致同步(服务器一般会接受客户端时间-1区间(也就是延迟了30秒)的时间戳生成的一次性密码)。在此之前,服务器与用户的设备必须通过一个安全的信道共享一个密钥,用于此后所有的身份验证会话。如需要执行更多步骤,用户也可以用TOTP验证服务器。

TOTP基于HOTP,附带的时间戳用于替代递增计数器。

通过定义一个纪元(epoch, T0)的起点并以时间步骤(time step, TS)为单位进行计数,当前时间戳被转换成一个整形数值的时间计数器(time-counter, TC)。举一个例子:

根据RFC 6238标准,供参考的实现如下:

尽管RFC 6238标准允许使用不同的参数,Google开发的验证应用不允许不同于默认的T0、TI值、哈希方法和密码长度。RFC 3548也同时鼓励K密钥以base-32编码输入(或以QR码的形式提供)。

一旦参数协商完毕,密码开始按照如下方法生成:

服务器与客户端都会计算密码,但是由服务器来检查客户端提供的密码是否匹配服务器本地生成的密码。考虑到轻微的时钟偏移、网络延迟或用户延误等情况,有些服务器允许接受本应该在早先已生成或稍后才生成的密码。

尽管攻击者需要实时托管凭证,而不能之后收集,但是TOTP代号跟密码一样可能被钓鱼。

不限制登录尝试的TOTP实现容易被暴力破解,因此尝试次数限制必须非常少。

窃取到预共享密钥的攻击者可以随意生成新的非法的TOTP代号。如果攻击者攻破大型的认证数据库,这就会是个问题。

由于TOTP设备可能会发生电力用尽、时钟不同步等情况,用户手机上的软件也可能丢失或失窃,所有现存的实现都可以绕开相应保护(如:打印的代码、电子邮件重置等),这对于大型用户群支持来说是个负担,并给了欺诈用户更多的操作空间。

TOTP代号的有效期会长于屏幕上显示的时间(通常是2倍或更长)。这是对认证双方的时钟可能有较大幅度偏移而作出的让步。

所有基于一次性密码的认证方案(包括TOTP、HOTP和其他方案)都会暴露于会话劫持当中,比如可以在登录后强征用户的会话。

尽管如此,TOTP仍然比单独使用传统静态密码验证的安全性强很多。上述的一些问题也可以通过简单的方法解决(比如为防止暴力破解,可以增加TOTP的位数,或者使用多个TOTP同时验证)。

TOTP草案由数位OATH成员合作开发,目的是创建一个行业通用标准。它完善了基于事件的一次性标准HOTP,并为终端用户组织和企业在选择最适合的应用要求与安全规范技术提供了更多选择。2008年,OATH向IETF提交了一份草案规范。这一版本的草案以之前提交的版本为基础,包含作者从技术社区收到的全部反馈与评论。2011年5月,TOTP正式成为RFC 6238标准的一部分。

相关

  • CoO氧化亚钴(CoO)是一种黑色的氧化物。氧化亚钴可借由将四氧化三钴加热至950℃时制得: 2 Co3O4 → 6 CoO + O2
  • 乌德勒支乌得勒支(荷兰语:Utrecht)是荷兰第四大城市和市镇,为荷兰乌得勒支省人口最多的城市,同时也是该省的省会。其为兰斯台德地区最东边的城市,也是荷兰第四大城市,2009年人口超越300,030
  • 高纬天统:565年四月-569年 武平:570年-576年高纬(556年5月29日-577年11月),字仁纲,南北朝时期北齐第五位皇帝(565年-577年在位),史称“后主”,北齐武成帝高湛的嫡长子,亦是中国唯一一位无上皇。
  • 东森购物东森得易购股份有限公司(英语:Eastern Home Shopping & Leisure Co., Ltd.)),简称EHS,是台湾电视史上第一家电视购物业者,1999年12月21日由王令麟成立,电视购物品牌为东森购物。得易
  • 许昌许昌市,简称许,古称颍川、许州,别称莲城,是中华人民共和国河南省下辖的地级市,位于河南省中部。市境北临郑州市、开封市,东接周口市,南界漯河市,西毗平顶山市。地处伏牛山低山丘陵区
  • 罗莎手术机器人励罗莎手术机器人(英语:ROSA)是一种医疗手术机器人能够在神经外科手术过程中协助医师减少手术完成时间并提高手术精准度。励罗莎手术机器人被法国的捷迈医疗器材股份有限公司(英
  • 南十字航线南十字航线与袋鼠航线相似,特指来往欧洲及澳大拉西亚间经停西半球的客运航线。和袋鼠航线相比,这条航线较少为两地间往返旅客使用。从出发点到终点都维持同一架飞机并仅使用一
  • 威利·博斯科夫斯基威利·博斯科夫斯基(德语:Willi Boskovsky,1909年6月16日-1991年4月20日),奥地利指挥家,生于维也纳。曾任维也纳爱乐管弦乐团首席小提琴手,维也纳八重奏团成员。1918年进入维也纳音
  • 埃德蒙森峰坐标:74°20′S 165°8′E / 74.333°S 165.133°E / -74.333; 165.133埃德蒙森峰(英语:Edmonson Point),是(英语:Edmonson Peak)南极洲的山峰,位于维多利亚地的博克格雷温克海岸,处于
  • 雷尼尔山雷尼尔山(英语:Mount Rainier),亦称塔科马山(Mount Tacoma)或塔霍马山(Mount Tahoma),是一座活火山,属于层状火山,位在美国华盛顿州的皮尔斯县境内,也位于西雅图东南方54英里(87公里)处。