基于时间的一次性密码算法





基于时间的一次性密码算法(TOTP)是一种根据预共享的密钥与当前时间计算一次性密码的算法。它已被互联网工程任务组接纳为RFC 6238标准[1],成为主动开放认证英语Initiative For Open Authentication(OATH)的基石,并被用于众多多重要素驗證系统当中。


TOTP是散列消息认证码(HMAC)当中的一个例子。它结合一个私钥与当前时间戳,使用一个密码散列函数来生成一次性密码。由于网络延迟与时钟不同步可能导致密码接收者不得不尝试多次遇到正确的时间来进行身份验证,时间戳通常以30秒为间隔,从而避免反复尝试。


在特定的多重因素验证应用中,用户验证步骤如下:一位用户在网站或其他服务器上输入用户名和密码,使用运行在本地的智能手机或其他设备中的TOTP生成一个一次性密码提交给服务器,并同时向服务器输入该一次性密码。服务器随即运行TOTP并验证输入的一次性密码。为此,用户设备与服务器中的时钟必须大致同步(服务器一般会接受客户端时间-1区间(也就是延迟了30秒)的时间戳生成的一次性密码)。在此之前,服务器与用户的设备必须通过一个安全的信道共享一个密钥,用于此后所有的身份验证会话。如需要执行更多步骤,用户也可以用TOTP验证服务器。




目录






  • 1 定义


  • 2 实现


  • 3 弱点和缺陷


  • 4 历史


  • 5 服务器实现


  • 6 客户端实现


  • 7 参考文献





定义


TOTP基于HOTP,附带的时间戳用于替代递增计数器。


通过定义一个纪元(epoch, T0)的起点并以时间步骤(time step, TS)为单位进行计数,当前时间戳被转换成一个整形数值的时间计数器(time-counter, TC)。举一个例子:



TC = 最低值((unixtime(当前时间)−unixtime(T0))/TS),

TOTP = HOTP(密钥, TC),


TOTP-值 = TOTP mod 10dd 是所需的一次性密码的位数。



实现


根据RFC 6238标准,供参考的实现如下:



  • 生成一个任意字节的字符串密钥K,与客户端安全地共享。

  • 基于T0的协商后,Unix时间从时间间隔(TI)开始计数时间步骤,TI则用于计算计数器C(默认情况下TI的数值是T0和30秒)的数值

  • 协商加密哈希算法(默认为SHA-1)

  • 协商密码长度(默认6位)


尽管RFC 6238标准允许使用不同的参数,Google开发的验证应用不允许不同于默认的T0、TI值、哈希方法和密码长度。RFC 3548也同时鼓励K密钥以base-32编码输入(或以QR码的形式提供)。[2]


一旦参数协商完毕,密码开始按照如下方法生成:



  1. 从T0开始已经过的时间,每个TI为一个单位,总数记为C。


  2. 使用C作为消息,K作为密钥,计算HMAC哈希值H(定义来自之前的HMAC算法,但是大部分加密算法库都有支持)。K应当保持原样继续传递,C应当以64位的原始无符号的整形数值传递。

  3. 取H中有意义最后4位数的作为弥补,记为O。

  4. 取H当中的4位,从O字节MSB开始,丢弃最高有效位,将剩余位储存为(无符号)的32位整形数值I。

  5. 密码即为基数为10的最低N位数。如果结果位数少于N,从左边开始用0补全。


服务器与客户端都会计算密码,但是由服务器来检查客户端提供的密码是否匹配服务器本地生成的密码。考虑到轻微的时钟偏移、网络延迟或用户延误等情况,有些服务器允许接受本应该在早先已生成或稍后才生成的密码。



弱点和缺陷


尽管攻击者需要实时代管凭证,而不能之后收集,但是TOTP代号跟密码一样可能被钓鱼。


不限制登录尝试的TOTP实现容易被暴力破解,因此尝试次数限制必须非常少。


窃取到预共享密钥的攻击者可以随意生成新的非法的TOTP代号。如果攻击者攻破大型的认证数据库,这就会是个问题。[3]


由于TOTP设备可能会发生电力用尽、时钟不同步等情况,用户手机上的软件也可能丢失或失窃,所有现存的实现都可以绕开相应保护(如:打印的代码、电子邮件重置等),这对于大型用户群支持来说是个负担,并给了欺诈用户更多的操作空间。


TOTP代号的有效期会长于屏幕上显示的时间(通常是2倍或更长)。这是对认证双方的时钟可能有较大幅度偏移而作出的让步。


所有基于一次性密码的认证方案(包括TOTP、HOTP和其他方案)都会暴露于会话劫持当中,比如可以在登录后强征用户的会话。


尽管如此,TOTP仍然比单独使用传统静态密码验证的安全性强很多。上述的一些问题也可以通过简单的方法解决(比如为防止暴力破解,可以增加TOTP的位数,或者使用多个TOTP同时验证)。



历史


TOTP草案由数位OATH成员合作开发,目的是创建一个行业通用标准。它完善了基于事件的一次性标准HOTP,并为终端用户组织和企业在选择最适合的应用要求与安全规范技术提供了更多选择。2008年,OATH向IETF提交了一份草案规范。这一版本的草案以之前提交的版本为基础,包含作者从技术社区收到的全部反馈与评论。[4]2011年5月,TOTP正式成为RFC 6238标准的一部分。



服务器实现
































































































































公司
 产品 / 实现的部分

OneLogin
OneLogin 保护

微软
 多重因素验证[5]

Salesforce.com
 账号访问、加强认证
Authy
 账号访问、加强认证[6]
ServiceNow
 [7]

Google
Google身份验证器[8]

Facebook
 登录许可、代号生成器[9]

Mozilla
 Firefox 浏览器同步账号访问[10]

亞馬遜公司
 Amazon Web Services[11]

Bitbucket
 账号访问[12]

Dropbox
 账号访问[13]

Evernote
 账号访问[14]
Gandi
 账号访问[15]
Zoho
 账号访问[16]

GitHub
 账号访问[17]
Hiveage
 账号访问[18]

LastPass
 账号访问[19]

Linode
 账号访问[20]

WordPress.com
 账号访问[21]
Hover
 账号访问[22]
LinOTP
OpenAM
 基于Java的单次登录

ownCloud
 账号访问[23]
Nextcloud
 TOTP多重因素认证[24]
multiOTP
 工具集,网页集成,网络服务,半径插件
privacyIDEA
 认证终端
Token2
 Token2 TOTPRadius - 针对多重因素验证设计的RADIUS服务器[25]
XenForo
 [26]

赛门铁克
 VIP访问 [27]
HashiCorp
 密码库[28][29][30]

Yandex
 账号访问 [31][32]


客户端实现



















公司
 产品 / 实现的部分

Google身份验证器
 Google开发,发布于Playstore与AppStore
Microsoft Authenticator
微软开发,可为微软系网站生成8位字符令牌,为其他网站生成6位字符令牌

FreeOTP[33]
 FreeOTP基于Google Authenticator开发而来,由紅帽公司(RedHat)维护


参考文献





  1. ^ RFC 6238 - TOTP: Time-Based One-Time Password Algorithm. [2011-07-13]. 


  2. ^ KeyUriFormat. [2014-08-05]. 


  3. ^ Zetter, Kim. RSA Agrees to Replace Security Tokens After Admitting Compromise. WIRED. [2017-02-17] (美国英语). 


  4. ^ Alexander, Madison. OATH Submits TOTP: Time-Based One Time Password Specification to IETF. Open Authentication. [2010-02-22]. 


  5. ^ Microsoft Account Gets More Secure. The Official Microsoft Blog. [2013-04-17]. 


  6. ^ Spend 1 Day To 2FA Your VPN – Authy. [2017-04-26]. 


  7. ^ Multifactor authentication. 


  8. ^ google-authenticator – Project Hosting on Google Code. [2010-02-22]. 


  9. ^ Extra security feature. [2014-01-30]. 


  10. ^ Two-step authentication in Firefox Accounts. Mozilla Services. [2018-08-01] (美国英语). 


  11. ^ AWS Multi-Factor Authentication. [2012-03-06]. 


  12. ^ Two-step verification is here. [2015-09-11]. 


  13. ^ Another layer of security for your Dropbox account. [2013-05-04]. 


  14. ^ Two-Step Verification Available to All Users. [2015-01-05]. 


  15. ^ Gandi rolls out two-factor authentication. [2013-11-21]. [永久失效連結]


  16. ^ Two Factor Authentication. [2017-07-26]. 


  17. ^ About Two-Factor Authentication. [2013-09-04]. 


  18. ^ Introducing Two-Step Verification. [2017-02-07]. 


  19. ^ Introducing Support for Google Authenticator. [2011-11-04]. 


  20. ^ Linode Manager Two-Step Authentication. [2013-05-02]. 


  21. ^ Two Step Authentication. WordPress. [2014-01-29]. 


  22. ^ Two-step Signin is Here. [2014-02-25]. 


  23. ^ A Two-Factor-Auth Provider for TOTP (e.g. Google Authenticator). [2017-04-30]. 


  24. ^ Nextcloud 11 sets new standard for security and scalability. Nextcloud. [2016-12-23]. 


  25. ^ Token2 TOTPRadius - a RADIUS server designed for two-factor authentication. Token2. [2017-05-13]. 


  26. ^ [FreddysHouse] Two-factor Authentication. FreddysHouse. [2014-02-10]. 


  27. ^ Reversing the Symantec VIP Access Provisioning Protocol. 2014-09-29. 


  28. ^ Vault 0.7.1. 2017-05-05. 


  29. ^ Vault TOTP Secret Backend. [2017-07-07]. 


  30. ^ Vault TOTP Secret Backend HTTP API. [2017-07-07]. 


  31. ^ Yandex.Passport. 2015-01-01. 


  32. ^ Yandex now lets you log in without a login (or a password). 2015-02-03. 


  33. ^ FreeOTP









Comments

Post a Comment

Popular posts from this blog

Information security

Image
This article is part of a series on Information security Related security categories Internet security Cyberwarfare Computer security Mobile security Network security Threats Computer crime Vulnerability Eavesdropping Malware Spyware Ransomware Trojans Viruses Worms Rootkits Bootkits Keyloggers Screen scrapers Exploits Backdoors Logic bombs Payloads Denial of service Defenses Computer access control Application security Antivirus software Secure coding Secure by default Secure by design Secure operating systems Authentication Multi-factor authentication Authorization Data-centric security Encryption Firewall Intrusion detection system Mobile secure gateway Runtime application self-protection (RASP) v t e Information security , sometimes shortened to InfoSec , is the practice of preventing unauthorized access, use, disclosure, disruption, modification, inspection, recording or destruction of information. Th...
Read more

Volkswagen Group MQB platform

Image
The Volkswagen Group MQB platform is the company's strategy for shared modular design construction of its transverse, front-engine, front-wheel-drive layout (optional front-engine, four-wheel-drive layout) automobiles. Volkswagen spent roughly $60bn [1] developing this new platform and the cars employing it. The platform underpins a wide range of cars from the supermini class to the mid size SUV class. MQB allows Volkswagen to assemble any of its cars based on this platform across all of its MQB ready factories. This allows the Volkswagen group flexibility to shift production as needed between its different factories. Beginning in 2012, Volkswagen Group marketed the strategy under the code name MQB , which stands for Modularer Querbaukasten , translating from German to "Modular Transversal Toolkit" or "Modular Transverse Matrix". [2] [3] MQB is one strategy within VW's overall MB (Modularer Baukasten or modular matrix) program which also includes th...
Read more

刘萌萌

Image
body.skin-minerva .mw-parser-output table.infobox caption{text-align:center} 刘萌萌 女演员 罗马拼音 Liu Meng Meng 英文名 Cya 国籍   中国 民族 汉族 出生 ( 1989-10-16 ) 1989年10月16日 ( 29歲)   中国辽宁省大连市 职业 演员、艺人 语言 汉语 教育程度 沈阳音乐学院 北京电影学院表演系进修班 活跃年代 2011年至今 唱片公司 浙江永乐影视制作有限公司 经纪公司 浙江永乐影视制作有限公司 网站 刘萌萌 官方微博 刘萌萌 (1989年10月16日 - ),汉族,中国演员,2010年参加湖南卫视《芒果训练营》而出道至今,凭借电视剧《爱情公寓》“诺澜”一角走红。北京电影学院10级表演系(进修班)毕业。 目录 1 主要经历 2 影视作品 2.1 电视剧 2.2 电影 2.3 综艺节目 3 参考文献 4 外部链接 主要经历 1989年,出生于辽宁省大连市一个工人家庭; 2006年,考入沈阳音乐学院舞蹈系本科班学习; 2010年,参加湖南卫视《芒果训练营》演艺新秀比赛而出道 [1] ;進入北京电影学院表演系进修班 2011年,出演电视剧《隋唐演义》“琼花公主”一角色; 2012年,担任电视剧《爱情公寓》“诺澜”一角并开始走红 [2] ; 2013年,担任电视剧《利箭纵横》《利剑行动》 [3] 女主角“林筱雨” 2014年,参加江苏卫视真人秀栏目《花样年华》 [4] 备受瞩目 [5] 。 影视作品 电视剧 首播年份 剧名 角色 备注 2012 《爱情公寓3》 诺澜 2012 《利箭行动》 林筱雨 2013 《隋唐演义》 琼花公主 2013 《决战燕子门》 马晓婉 2014 《利箭纵横》 林筱雨 2014 《屌丝日记》 林洛霏 網絡劇 2014 《爱情公寓4》 诺澜 ...
Read more