MIX Fold3包裝盒泄露 新機本月登場
小米的全新折疊屏旗艦MIX Fold3將于本月發(fā)布,近日該機的真機包裝盒在網(wǎng)上泄露。從圖上來看,新的MIX Fold3包裝盒在外觀設計方面延續(xù)了之前的方案,變化不大,這也是目前小米旗艦
一次性密碼(One Time Password),簡稱 OTP,是只能使用一次的密碼。每次做身份認證時都會生成一個新的密碼,在使用一次之后立即失效,不能重復使用。這種密碼只能使用一次,因此即使攻擊者能夠竊取到密碼,也無法再次使用該密碼進行身份認證。
接下來看一下一次性密碼實現(xiàn)的幾種方式。
密碼的有效性依賴當前的時間,每個密碼都有一個固定的有效期,例如30秒或60秒。在這個時間窗口結束后,密碼會自動失效,系統(tǒng)會生成一個新的密碼。
這種方法的優(yōu)點是不依賴于網(wǎng)絡連接,因此即使在沒有網(wǎng)絡連接的情況下,用戶也可以生成密碼。這種方法的缺點是對時間的同步要求較高,需要客戶端和服務器之間的時間保持精確同步,并且用戶必須在指定的時間窗口內輸入密碼,否則密碼就會失效。
密碼的生成依賴一個密鑰和一個計數(shù)器。每當用戶請求一個新的密碼時,計數(shù)器就會增加,然后使用哈希函數(shù)和密鑰生成一個新的密碼。這種方法的優(yōu)點是不依賴時間,因此用戶可以在任何時間輸入密碼。相應的缺點是如果計數(shù)器的值在服務器和用戶設備之間不同步,就可能導致問題。
密碼需要通過短信發(fā)送給用戶,當用戶需要進行身份認證時,系統(tǒng)會發(fā)送一個密碼到用戶的手機。這種方法的優(yōu)點是很方便直觀,相應的缺點是依賴手機網(wǎng)絡,如果用戶沒有手機信號或者手機被盜,就無法接收密碼。此外,這種方法也容易受到短信劫持的攻擊。
密碼通過電子郵件發(fā)送給用戶。與基于短信的一次性密碼類似,這種方法的優(yōu)點是很容易理解和使用。相應的缺點是依賴電子郵件,如果用戶無法訪問自己的電子郵件,就無法接收密碼。此外,這種方法也容易受到電子郵件劫持的攻擊。
理論上來說,一次性密碼是最安全的。但目前還沒有理想的一次性密碼的實現(xiàn)方式,大多數(shù)情況下,一次性密碼的使用場景還是用于輔助身份認證。
因為 TOTP 是標準化的協(xié)議并且被廣泛采用,所以有很多對應的移動應用或者 web 應用實現(xiàn),被稱為身份驗證器應用,例如 Google Authenticator、Microsoft Authenticator 等。Golang 也有很多優(yōu)秀的三方庫可以幫助我們快速實現(xiàn) TOTP 的服務端實現(xiàn),其中比較有代表性的是 pquerna/otp 庫,接下來就使用這個庫來演示一下 TOTP 的服務端實現(xiàn)流程。
用戶開啟雙因子認證時,為用戶生成 TOTP Key,用于生成 TOTP 密碼。將這個密碼保存在數(shù)據(jù)庫或者秘鑰管理系統(tǒng)中,生成 key 的關鍵代碼如下:
key, err := totp.Generate(totp.GenerateOpts{ Issuer: "Github", AccountName: "user@example.com", Period: 30, Digits: otp.DigitsSix, Algorithm: otp.AlgorithmSHA1, })這幾個參數(shù)的意思如下:
通常是將秘鑰和密碼規(guī)則信息以二維碼的形式展示給用戶,用戶使用身份驗證器應用掃描二維碼保存相關信息并且生成密碼。二維碼中的內容格式一般如下:
otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JM
生成“恢復碼” Recovery Codes (使用隨機生成的字符串即可)存儲到數(shù)據(jù)庫或者秘鑰管理系統(tǒng)中。當用戶不能訪問自己的 TOTP 設備(例如將 TOTP 應用中的 TOTP 秘鑰刪除了、將 TOTP 應用卸載了、手機丟失了等)時,就無法登錄自己的帳戶了。因為這種情況比較常見,所以很多網(wǎng)站都會給用戶提供“備份代碼”或“恢復代碼”,并且每個只能使用一次,可以臨時用來代替 TOTP 密碼。
用戶再次登錄后,觸發(fā)雙因子認證,要求用戶輸入 TOTP 密碼,服務端檢驗這個密碼。校驗的關鍵代碼如下:
// 驗證一次性密碼isValid := totp.Validate(passcode, key.Secret())package mainimport ( "fmt" "time" "github.com/pquerna/otp" "github.com/pquerna/otp/totp")func main() { // 生成密鑰 key, err := totp.Generate(totp.GenerateOpts{ Issuer: "Github", AccountName: "user@example.com", Period: 30, Digits: otp.DigitsSix, Algorithm: otp.AlgorithmSHA1, }) if err != nil { panic(err) } fmt.Println("Secret URL: ", key.URL()) // 模擬生成一個一次性密碼 now := time.Now() passcode, err := totp.GenerateCode(key.Secret(), now) if err != nil { panic(err) } // 驗證一次性密碼 valid := totp.Validate(passcode, key.Secret()) if valid { fmt.Println("Valid passcode!") } else { fmt.Println("Invalid passcode!") }}本文鏈接:http://m.www897cc.com/showinfo-26-81255-0.html使用 Golang 實現(xiàn)基于時間的一次性密碼 TOTP
聲明:本網(wǎng)頁內容旨在傳播知識,若有侵權等問題請及時與本網(wǎng)聯(lián)系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
上一篇: 聊一聊 NPM 依賴管理的復雜性
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯(lián)系:2376512515@qq.com 津ICP備18001702號
津公網(wǎng)安備 12010102000574號