TOTP的含義

“基于時間的一次性密碼”是指使用共享密鑰值和系統上的當前時間形成后僅在30-90秒內有效的密碼。

密碼幾乎總是由每三十秒更改一次的六位數序列組成。另一方面，TOTP的某些實現使用四位數代碼，這些代碼在90秒后變得無效。

什么是共享密鑰？

TOTP身份驗證使用在客戶端和服務器之間共享的密鑰形式的共享密鑰。

肉眼看來，共享密鑰似乎是一個字符串，其表示形式在Base32中類似于以下內容：

KRUGS4ZANFZSAYJAONUGC4TFMQQHGZLDOJSXIIDFPBQW24DMMU======

計算機能夠理解和理解信息，即使人類無法以呈現的方式辨認信息。

客戶端和服務器在單次傳輸密鑰后，共享密鑰的副本安全地存儲在各自的系統上。

如果攻擊者能夠發現共享密鑰的價值，那么他們將能夠構建自己獨特的合法一次性密碼。因此，TOTP的每個實現都需要特別注意以安全的方式安全地存儲共享密鑰。

什么是系統時間？

每臺計算機和手機中都有一個時鐘，用于測量所謂的Unix時間。

Unix時間是根據自1年1970月00日00：00：<>UTC 以來經過的秒數來衡量的。

Unix時間似乎只不過是一串數字：1643788666

然而，這個小數字非常適合生成OTP，因為大多數使用Unix時鐘的電氣設備彼此充分同步。

TOTP身份驗證協議的實現

不建議使用密碼。但是，您可以通過將傳統密碼與時間敏感的一次性密碼（TOTP）結合使用來提高安全性。這種組合稱為雙因素身份驗證或2FA，可用于安全地對您的帳戶、虛擬專用網絡（VPN）和應用程序進行身份驗證。

TOTP可以在硬件和軟件令牌中實現：

?TOTP硬件令牌是一種物理鑰匙串，可在小屏幕上顯示當前代碼

?TOTP軟令牌是一種移動應用程序，可在手機屏幕上顯示代碼

使用軟件令牌還是硬件令牌都沒有區別。使用兩種不同形式的身份驗證的目的是提高為您的在線帳戶提供的保護級別。您可以訪問一次性密碼生成器，您可以在雙因素身份驗證期間使用該生成器來訪問您的帳戶。無論您有遙控鑰匙還是帶有身份驗證應用程序的智能手機，都可以使用此生成器。

基于時間的一次性密碼如何工作？

共享密鑰的值包含在每個基于時間的一次性密碼（TOTP）的生成中，該密碼取決于當前時間。

為了生成一次性密碼，TOTP方法會同時考慮當前的Unix時間和共享密鑰值。

基于HMAC的一次性密碼（HOTP）方法中的計數器將換成基于時間的一次性密碼算法（HOTP算法的一個版本）中的當前時間值。

一次性密碼（TOTP）技術基于哈希函數，給定不確定長度的輸入，生成固定長度的短字符串。這種解釋避免了在技術語言上陷入困境。如果您只是擁有哈希函數的結果，您將無法重新創建用于生成它的原始參數。這是哈希函數的優勢之一。

必須記住，TOTP提供比HOTP更高的安全級別。每30秒，使用TOTP時就會生成一個全新的密碼。使用HOTP時，只有在輸入和使用前一個密碼后才會創建新密碼。事實上，即使HOTP的一次性密碼已被用于身份驗證，它仍然有效，這為黑客提供了成功發起攻擊的重要機會。

使用多因素（MFA）進行身份驗證

用戶必須先在任何支持基于時間的一次性密碼的多因素身份驗證（MFA）系統中注冊其 TOTP令牌，然后才能使用設備連接到其帳戶。

一些TOTP軟代幣需要為每個帳戶注冊不同的OTP生成器。這實際上意味著，如果您將兩個帳戶添加到身份驗證器應用程序，程序將每30秒生成兩個臨時密碼，每個帳戶一個。單個TOTP軟令牌（身份驗證器程序）可以支持無限數量的一次性密碼生成器。單個一次性密碼生成器可在帳戶安全性受到威脅的情況下保護所有其他帳戶的安全。

要使用2FA，必須創建密鑰并在TOTP令牌和安全系統之間共享。然后，必須將安全系統的機密傳遞給令牌。

如何將共享機密發送到令牌？

通常，安全系統會創建一個二維碼，并請求用戶使用身份驗證器應用程序對其進行掃描。

這種類型的二維碼是對一長串字母的視覺描述。粗略地說，共享的秘密是這個冗長序列的一部分。

當用戶使用身份驗證器應用程序掃描二維碼時，該軟件將串起圖像并提取密鑰。身份驗證器程序現在可以利用共享密鑰生成一次性密碼。

注冊TOTP令牌時，密鑰僅發送一次。許多關于竊取私鑰的擔憂都得到了緩解。對手仍然可以竊取機密，但他們必須首先實際竊取令牌。

即使您沒有連接到互聯網，它也可以工作！

要使用TOTP技術，您不需要智能手機上的有效互聯網連接或物理密鑰。

TOTP令牌只需要獲取一次共享密鑰值。因此，安全系統和OTP生成器可以產生連續的密碼值，而無需通信。因此，即使計算機關閉，基于時間的一次性密碼（TOTP）也會運行。

審核編輯：劉清