RSS订阅信息安全技术跟踪与研究:技术、平台、会议、论文、产业
你现在的位置:首页 / 技术积累 / 正文

动态口令OTP(One-Time Password)

0 技术积累 | 2015年9月2日
转载申明:本站原创,欢迎转载。但转载时请保留原文地址。
原文地址:http://www.vonwei.com/post/OTPConclude.html

现在各种Web登录(如Google账号)、移动App、网上支付等系统都开始使用动态口令的技术。这篇先科普一下。


OTP全称为One-Time Password,一般翻译为一次性密码或者动态口令等。顾名思义,该密码或者口令在网络或者计算机认证中是一次性有效的。传统的账号和口令的方式,口令是固定的,需要用户记住,一般称为静态口令。OTPs一般用来加强认证体系,实现双因子认证:实现OTP算法的Token或者移动设备是用户所拥有的(something you have,第二认证因子);而传统账号和密码登录就是通常的第一认证因子(something you know)。

       相比传统静态口令,动态口令OTP拥有很多优势,其中最重要的一个优势是OTP能防止重放攻击(即Replay Attacks),也就是说,使用过的OTPs即便被攻击者获取,攻击者也无法使用其进行一个有效的认证,因为OTPs的使用都是一次性的,使用后即失效。另一个优势是,即便用户在多个不同的系统中使用相同的账号和口令也没有太大关系,一般攻击者攻破一个系统可能为威胁到其它所有账户的安全,但如果使用OTPs作为第二认证因子,就不用担心这个问题。

         由于OTPs是动态变化的,每次认证都不一样,因此用户是不可能记忆的。这就导致了OTPs采用的技术与传统静态口令完全不一样。OTP的生成通常使用一些特殊构造的数学算法,也有使用哈希函数。无论使用哪种方式,一个关键点是如何实现动态的特性,即需要加入动态变化的因子,从这个角度出发,一般有三种:

1基于事件挑战的OTP,如一个随机挑战或者一个计数器作为动态因子,如HOTP

2基于时间的OTP,双方同步时间和时间步长,每个时间步长内都生成一个不同的OTP,如TOTP

3基于旧的OTP来生成新的OTP,这样多个OTPs可能构成一个序列,一般需要按照特定的或者预先定义的顺序使用,如S/KEY OTP或者Lamport OTP

         在具体实现时,OTP如何发送到用户手中呢,也有多种不同方式。有些系统使用特定的安全令牌供用户随身携带,安全令牌生成动态口令并显示在一个小显示屏上;有些系统使用用户的智能手机,通过软件来实现OTP并显示;还有些系统在服务端生成OTPs,并通过其他安全途径,如SMS短信、电子邮件等方式发送给用户;甚至有些系统将OTPs打印在纸上上提供给用户使用。

         几种实现的比较:将OTPs打印在纸上,或者直接在已经普遍存在的移动设备上生成是最经济的;而使用一个专门的安全令牌,或者通过SMS短信,都会导致用户额外的开销。使用移动设备生成不需要携带额外的纸片或者安全令牌。纸片或者安全令牌丢了后是很危险的,手机丢了可以远程擦除,有的手机还有登录口令或者图案。不过安全令牌拥有tamper-proof特征,安全性更好一点。

         OTP方法的相关标准:

1S/KEY OTPRFC 1760):Lamport算法,安全哈希函数形成的哈希链条或者哈希序列,从最后一个开始使用。

2OTPRFC 2289):基于S/KEY OTP,使用用户的密码和服务器发送的挑战,以及多轮安全哈希函数生成OTP

3HOTPRFC 4226):使用计数器counter作为动态因子,HMAC-SHA1算法,生成6位动态码。

4TOTPRFC 6238):以HOTP为基础,不过动态因子改为时间。

5OCRARFC 6287):以HOTP为基础,更加灵活,支持多种算法,支持各种数据输入(挑战、counter计数器、时间等等),单向认证流程、双向认证流程都包含。



  • ------------------分隔线----------------

  • 如果感兴趣,欢迎关注本站微信号,跟踪最新博文信息,手机微信扫一扫下面的二维码,即可关注!
  • 微月信公众号
  • 推荐您阅读更多有关于“ 动态口令  One Time Password   ”的文章

    请填写你的在线分享代码
    上一篇:Win7下三种自启动方式下一篇:苹果移动支付:Apple Pay

    猜你喜欢

    评论列表:

    发表评论

    必填

    选填

    选填

    必填,不填不让过哦,嘻嘻。

    记住我,下次回复时不用重新输入个人信息

    本站介绍
    最近发表
    本年最热文章
    本月最热文章
    网站分类
    文章归档