一次性密码（OTP）是全球企业广泛采用的使用者验证方法。 OTP 透过要求自动产生一个只有帐户持有人知道的临时密码，协助保护帐户免受未经授权的存取。 OTP 如何运作，其又是否安全？以下是我们完整的OTP 指南与示例介绍。

一次性密码是什么？

一次性密码是一种自动产生的验证码，用于在使用者登入帐户、网络或系统时进行身份验证。

与传统密码不同，一次性密码只在设定的时间内有效一次。虽然您可以使用相同的密码一次又一次地登入，直到您重新设定为止，但一次性密码永远是独一无二的，而且每次登入时都会改变。

一次性密码是双重认证（2FA）的常用方法，通常是数字或字母和数字的组合。这是一种密码安全做法，需要两种形式的身份验证才能存取帐户或网络。

一次性密码如何运作？

一次性密码背后的概念很简单。使用两种或多种方法进行验证，通常会使用以下三种要素中的两种：

• 使用者知道的内容（例如：静态密码）
• 使用者拥有的东西（例如：权杖、加密验证装置、通行密钥）
• 使用者本身（即生物特征资料，例如指纹或脸部辨识）

静态密码是使用者所建立和知道的内容，而一次性密码则是其所拥有的东西。以下是大多数一次性密码的运作方式：

• 当使用者尝试登入帐户或应用程式时，平台会要求他们输入一串数字或字母和数字的字元组合来确认身份。
• 这些字元是使用杂凑讯息鉴别码（HMAC）和可变要素自动产生的。 OTP 的两个主要可变要素是基于时间的（TOTP）和基于事件的（HOTP）。我们会在下面的章节中详细介绍。
• 一次性密码会透过只有使用者才能存取的管道传送给使用者：电子邮件、身份验证应用程式、安全金钥装置、文字讯息或推送通知。
• 然后，使用者在必填栏位中输入一次性密码，来验证身份或验证行动。

您可以透过几种方式产生一次性密码，我们会在下面的示例中详细说明。

一次性密码的类型

一次性密码主要有两种类型：HOTP 和TOTP。让我们详细了解每种类型。

基于杂凑讯息验证码的一次性密码（HOTP）

HOTP 是基于事件的一次性密码。 「H」代表杂凑讯息验证码（HMAC），是一种特定的讯息验证码，涉及加密杂凑函数和秘密加密金钥。

当使用者要求HOTP 时，产生的验证码在要求新的验证码之前都是有效的。这是因为HOTP 的产生是基于计数器。每次验证密码和使用者进入帐户时，伺服器和OTP 产生工具都会同步。

使用HOTP 的OTP 产生工具的一个好例子是Yubico 的YubiKey：一个小型安全金钥，使用者可以用它来保护多个帐户。

基于时间的一次性密码（TOTP）

HOTP 是基于事件的，而TOTP 则是基于时间的。 TOTP 代表「基于时间的一次性密码」。 TOTP 使用与HOTP 相同的演算法，但以时间戳取代事件计数器。

当使用者要求TOTP 时，所产生的验证码只有短时间有效：通常在30 到90 秒之间。之后，验证码就会过期，无法再次使用。

TOTP 通常比HOTP 更安全，因为其过期频率更高。

一次性密码的示例

从金融机构到学校，各行各业的公司都普遍使用OTP 系统。无论是要存取银行帐户或是更改线上饭店预约，都可能会要求您输入数字密码来确认身份。以下是一些一次性密码的示例。

• 电子邮件或简讯验证。最简单易用的OTP 验证方法是收到一封附有一次性密码的电子邮件或简讯。许多公司采用双重认证方法来确认交易或更改预约。
• 身份验证装置。身份验证装置（亦称为安全金钥）是产生一次性使用密码的安全硬件装置。这些装置包括口袋大小的遥控钥匙（如YubiKey），可产生数字或字母的一次性验证码。
• 智慧卡。智慧卡（亦称为OTP 显示卡）是以微处理器为基础的卡片，类似信用卡或签帐金融卡。其含有LCD 萤幕，可以显示产生的数字或字母和数字组合的一次性验证码。智慧卡的例子包括SafeNet OTP 显示卡和Feitian OTP 显示卡。
• 行动装置应用程式。您也可以下载身份验证应用程式来产生一次性密码。这些行动应用程式的运作方式与安全权杖类似，但验证码是在应用程式内产生。使用者在登入网站或服务时，可以复制验证码来验证身份。一些知名的身份验证应用程式包括Google Authenticator、Authy 和Microsoft Authenticator。

OTP 的优点

• 提高数位安全防护。使用OTP 作为第二个验证要素可大幅提高您的网络安全。多重要素验证可降低未经授权存取和网络攻击的风险，而这些威胁一直存在。
• 防范重放攻击。重放攻击涉及犯罪分子拦截使用者的网际网络流量，之后再利用它存取线上资料。 OTP 有助于防止重放攻击，尤其是在银行交易中。由于OTP 只在短时间内或一次交易中有效，因此如果攻击者尝试重放OTP，OTP 就会失效。
• 无需记住OTP。要重设忘记的密码并不好玩。由于OTP 是自动产生的，使用者不用担心得要记住密码。
• 快速且容易使用。使用一次性密码的验证过程通常快速又简单。您只需输入透过指定管道收到的验证码，即可存取帐户。

OTP 的缺点

• 安全性问题。虽然一次性密码比传统密码提供更高的安全性，但它并非完可以全抵御攻击。骇客可以利用几种有创意的方式规避OTP 安全系统，例如网络钓鱼或社交工程攻击。
• 存取问题和延迟。并非所有的OTP 系统都能发挥应有的功效。有时候，使用者可能会延迟收到附有一次性密码的电子邮件，或者该电子邮件可能会出现在垃圾信件匣。
• 完成验证需要额外努力。 OTP 验证并非输入使用者名称和密码那么简单。使用者需要完成额外的步骤来验证他们的动作，这需要多花一点精力和时间。
• 验证过程可能较不方便。在许多情况下，使用者使用OTP 验证时需要将手机放在手边（例如，使用行动应用程式产生一次性密码或透过简讯接收验证码）。虽然我们大多数人都会随身携带手机，但仰赖行动装置可能会对某些人造成不便。

一次性密码是否安全？

一次性密码被认为是一种安全的身分验证方法，并广为世界各地的公司所采用。

对各行各业的企业来说，提供安全的应用程式存取是一项永恒的挑战。 OTP 等安全措施是保护使用者资讯和敏感资料的简单、有效且可靠的方法。

使用一次性密码可为登入程序增加一层安全防护，并提供对帐户或应用程式的安全存取。 OTP 比静态密码更安全（特别是当这些密码很短或有在其他地方重复使用时）。

但是，和大多数登入方法一样，OTP 系统只能部分防止骇客入侵。骇客仍然可以找到使用OTP 进入帐户的方法（但这并非一种容易执行的攻击）。

OTP 容易受到某些类型的诈骗，例如社交工程和网络钓鱼攻击、电子邮件劫持或简讯验证码窃取。重要的是要保持谨慎，不要中了骇客的常见伎俩。

归根结柢，OTP 是一种经过验证的可靠身份验证方法，可以降低诈骗、帐户资料外泄和其他网络攻击的可能性。在传统密码之外使用一次性密码，可增加一层额外的安全防护，让使用者更安心无虞。

本文链接地址：https://www.wwsww.cn/jishu/28047.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。