一次性密码 —OTP

什么是一次性密码 (OTP)？

一次性密码 (OTP) 是自动生成的数字或字母数字字符串，用于对单个事务或登录会话的用户进行身份验证。

OTP 比静态密码更安全，尤其是用户创建的密码，该密码可能很弱并且可以在多个帐户中重复使用。

OTP 可能会取代传统的身份验证登录信息，或者可以与传统的身份验证登录信息一起使用以添加另一层安全性。

为什么一次性密码是安全的？

OTP 功能可确保捕获的用户名/密码对无法再次使用，从而防止某些形式的身份盗窃。 

通常，用户的登录名保持不变，而一次性密码会随着每次登录而更改。 

一次性密码（又名一次性密码）是一种强身份验证形式，可为电子银行、企业网络和其他包含敏感数据的系统提供更好的保护。

如今，大多数企业网络、电子商务网站和在线社区仅需要用户名和静态密码即可登录和访问个人和敏感数据。

 

一次性密码的工作原理

在基于 OTP 的身份验证方法中，用户的 OTP 应用程序和身份验证服务器依赖于共享密钥。

一次性密码的值是使用以下因素相互结合生成的：

• HMAC，即基于哈希的消息认证码算法。
• 移动因素，例如基于时间的信息——例如基于时间的 OTP ( TOTP )——或跟踪授权尝试次数的事件计数器——例如基于 HMAC 的 OTP (HOTP)。

OTP 值具有分钟或秒时间戳以提高安全性。一次性密码可以通过多种渠道传递给用户，包括基于 SMS 的文本消息、电子邮件或端点上的专用应用程序。

一次性密码的好处

一次性密码避免了一些常见的密码安全陷阱。借助 OTP，IT 管理员和安全经理不必担心组合规则、已知的不良密码和弱密码、凭证共享或在多个帐户和系统上重复使用同一密码。

一次性密码的另一个优点是，对于 TOTP，它们会在几分钟内失效；对于 HOTP，一旦使用，它们就会失效。这样，一次性密码就可以防止攻击者获取密码并重复使用它们。