转自:  http://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html

所谓认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤。

密码是最常见的认证方法,但是不安全,容易泄露和冒充。

越来越多的地方,要求启用双因素认证(Two-factor authentication,简称 2FA)。本文介绍它的概念和实现方法。

一、双因素认证的概念

一般来说,三种不同类型的证据,可以证明一个人的身份。

  • 秘密信息:只有该用户知道、其他人不知道的某种信息,比如密码。
  • 个人物品:该用户的私人物品,比如身份证、钥匙。
  • 生理特征:该用户的遗传特征,比如指纹、相貌、虹膜等等。

这些证据就称为三种"因素"(factor)。因素越多,证明力就越强,身份就越可靠。

双因素认证就是指,通过认证同时需要两个因素的证据。

银行卡就是最常见的双因素认证。用户必须同时提供银行卡和密码,才能取到现金。

二、双因素认证方案

常用的双因素组合是密码 + 某种个人物品,比如网上银行的 U 盾。用户插上 U 盾,再输入密码,才能登录网上银行。

但是,用户不可能随时携带 U 盾,手机才是最好的替代品。密码 + 手机就成了最佳的双因素认证方案。

国内的很多网站要求,用户输入密码时,还要提供短消息发送的验证码,以证明用户确实拥有该手机。

但是,短消息是不安全的,容易被拦截和伪造,SIM 卡也可以克隆。已经有案例,先伪造身份证,再申请一模一样的手机号码,把钱转走。

因此,安全的双因素认证不是密码 + 短消息,而是下面要介绍的 TOTP。

三、TOTP 的概念

TOTP 的全称是"基于时间的一次性密码"(Time-based One-time Password)。它是公认的可靠解决方案,已经写入国际标准 RFC6238。

它的步骤如下。

第一步,用户开启双因素认证后,服务器生成一个密钥。

第二步:服务器提示用户扫描二维码(或者使用其他方式),把密钥保存到用户的手机。也就是说,服务器和用户的手机,现在都有了同一把密钥。

注意,密钥必须跟手机绑定。一旦用户更换手机,就必须生成全新的密钥。

第三步,用户登录时,手机客户端使用这个密钥和当前时间戳,生成一个哈希,有效期默认为30秒。用户在有效期内,把这个哈希提交给服务器。

第四步,服务器也使用密钥和当前时间戳,生成一个哈希,跟用户提交的哈希比对。只要两者不一致,就拒绝登录。

五、TOTP 的算法

仔细看上面的步骤,你可能会有一个问题:手机客户端和服务器,如何保证30秒期间都得到同一个哈希呢?

答案就是下面的公式。

  1. TC = floor((unixtime(now) − unixtime(T0)) / TS)

上面的公式中,TC 表示一个时间计数器,unixtime(now)是当前 Unix 时间戳,unixtime(T0)是约定的起始时间点的时间戳,默认是0,也就是1970年1月1日。TS 则是哈希有效期的时间长度,默认是30秒。因此,上面的公式就变成下面的形式。

  1. TC = floor(unixtime(now) / 30)

所以,只要在 30 秒以内,TC 的值都是一样的。前提是服务器和手机的时间必须同步。

接下来,就可以算出哈希了。

  1. TOTP = HASH(SecretKey, TC)

上面代码中,HASH就是约定的哈希函数,默认是 SHA-1。

TOTP 有硬件生成器和软件生成器之分,都是采用上面的算法。

五、TOTP 的实现

TOTP 很容易写,各个语言都有实现。下面我用 JavaScript 实现2fa来演示一下真实代码。

首先,安装这个模块。

  1. $ npm install --save 2fa

然后,生成一个32位字符的密钥。

  1. var tfa = require('2fa'); tfa.generateKey(32, function(err, key) { console.log(key); }); // b5jjo0cz87d66mhwa9azplhxiao18zlx

现在就可以生成哈希了。

  1. var tc = Math.floor(Date.now() / 1000 / 30); var totp = tfa.generateCode(key, tc); console.log(totp); // 683464

六、总结

双因素认证的优点在于,比单纯的密码登录安全得多。就算密码泄露,只要手机还在,账户就是安全的。各种密码破解方法,都对双因素认证无效。

缺点在于,登录多了一步,费时且麻烦,用户会感到不耐烦。而且,它也不意味着账户的绝对安全,入侵者依然可以通过盗取 cookie 或 token,劫持整个对话(session)。

双因素认证还有一个最大的问题,那就是帐户的恢复。

一旦忘记密码或者遗失手机,想要恢复登录,势必就要绕过双因素认证,这就形成了一个安全漏洞。除非准备两套双因素认证,一套用来登录,另一套用来恢复账户。

七、参考链接

  • Multi-factor authentication, by Wikipedia
  • Time-based One-time Password Algorithm, by Wikipedia
  • Enabling Two-Factor Authentication For Your Web Application, by Bozhidar Bozhanov
  • simontabor/2fa, by Simon Tabor

相关资源:TwoFactorAuth:两因素验证(TFA2FA)PHP库-源码-其它代码类资源...

双因素认证(2FA)相关推荐

  1. 双因素认证(2FA)工作原理简介

    什么是双因素认证(Two-factor authentication,简称 2FA) 双因素身份认证就是:通过你所知道再加上你所能拥有的,这二个要素组合到一起才能发挥作用的身份认证系统.双因素认证是一 ...

  2. 3天时间,如何用双因素认证帮5000名员工实现远程办公账号安全

    远程办公最早在上世纪80年代的硅谷流行.在疫情仍在全球肆虐的当下,远程办公方式受到众多企业的推崇.对于一些集团化或多分支机构的企业组织,员工通过VPN.云桌面.虚拟化桌面等方式远程访问总部内网资源已成 ...

  3. 业余草双因素认证(2FA)教程

    所谓认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤. 密码是最常见的认证方法,但是不安全,容易泄露和冒充. 越来越多的地方,要求启用双因素认证(Two-factor ...

  4. 关于双因素认证(2FA),这些基础知识你一定要知道

    如今,在线时间占据了生活的一大部分.远程工作.社交媒体人气的激增以及元宇宙的出现意味着如今的数字身份与现实身份一样重要,而维护数字身份安全也变得更加重要. 双因素认证(2FA)作为额外安全层为账号登录 ...

  5. 双因素认证(2FA)教程

    所谓认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤. 密码是最常见的认证方法,但是不安全,容易泄露和冒充. 越来越多的地方,要求启用双因素认证(Two-factor ...

  6. 【IoT】加密与安全:双因素认证(2FA):TOTP

    认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤.密码是最常见的认证方法,但是不安全,容易泄露和冒充. 基于安全认证,很多场景要求启用双因素认证(Two-factor ...

  7. 九州云腾双因素认证系统_“等保2.0”新标准落地 双因子认证(2FA)成标配...

    2019年5月13日,国家标准新闻发布会正式发布网络安全等级保护制度2.0标准(以下简称"等保2.0"),新标准将于2019年12月1日开始实施,这意味着"等保2.0&q ...

  8. ASP.NET Core 双因素验证2FA 实战经验分享

    必读 本文源码核心逻辑使用AspNetCore.Totp,为什么不使用AspNetCore.Totp而是使用源码封装后面将会说明. 为了防止不提供原网址的转载,特在这里加上原文链接: 双因素认证 双因 ...

  9. GitHub 再次呼吁用户采取双因素认证机制

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 软件仓库平台 GitHub 再次鼓励用户启用双因素 (2FA) 认证机制,更好地保护账户安全. GitHub 支持2FA 机制已有8年的时间,目 ...

最新文章

  1. numpy.loadtxt画功率谱图
  2. 21天学通python pdf-21天学通Python PDF百度网盘资源下载
  3. React开发(170):ant design datapicker限制选择时间
  4. xmlhttprequest 跨域_跨域资源共享(CORS)安全性
  5. 中国女足3:2逆转!支付宝:1300万奖金已到位 蒙牛奖励千万现金
  6. PHP对自己I/O流访问的封装(转)
  7. Ubuntu查看网速工具
  8. 很牛的求职经历(转载)
  9. 初级java程序员面试题大全_Java初级程序员面试题大全
  10. java开发随记之 Invalidate Caches / Restart
  11. EF System.NotSupportedException
  12. CentOS 7.9安装bpftrace
  13. go语言读取xls表格xls文件操作替代解决方案
  14. 快递100一面(Java)
  15. pygame-KidsCanCode系列jumpy-part13-改进跳跃
  16. 集成电路专业术语简介
  17. 用python从身份证中提取生日信息(切片计算)
  18. 四元数姿态解算详细步骤
  19. 和菜鸟一起学算法之三分法求极值问题
  20. cnpm安装 指定版本_vue npm install安装某个指定版本的方法

热门文章

  1. 美团后台开发面试经验
  2. c语言中i++与++i的区别
  3. C++调用matlab dll报错:Invalid input:Null runtime instance
  4. 3D相机定位抓取介绍
  5. bugkumsic之图穷匕见
  6. 程序员必知,招聘黑话大全!
  7. 浙江大学招生目录新增一整个联合学院,包含人工智能,计算机专硕!
  8. theano程序(一)
  9. 10个企业网络安全建议,解决99%的网络安全问题
  10. 悲观锁、乐观锁、自旋锁和读写锁