兩步验证的原理

本文通过小王和钱庄的故事介绍了两步验证的原理,它是一种结合两种不同验证元素的安全认证方法,防止账号被盗。用户通过下载客户端,获取服务端生成的密钥并保存,客户端会根据时间生成一次性密码,服务端校验密码确保安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

被盗号

“您的账号密码有误,请重新输入”

小卢盯着电脑屏幕看了5分钟,心里纳闷,昨天还能登录,怎么今天就密码错误了,难不成我被盗号了?想到这里,小卢赶紧给自己的程序员好友小王打电话。

小卢:“小王,我在XX网站的账号被盗了!”
小王:“确定被盗了?赶紧把密码找回来。还有,你在其它网站的账号有没有被盗?“
小卢:“试过了,账号密码是一样的,好多都登录不上…”
小王:“哎,事到如今,只能事后补救了。不过把所有网站的账号密码都设置成一样的,很不安全啊。”
小卢:“还不是图个省事嘛,现在网站那么多,要是每个的密码都不一样,太难记了。”
小王:“没关系,我有一个安全神器,现在传授给你,即使所有网站密码都是一样的,也可以避免一窝端。”
小卢:”是什么?赶紧告诉我!“
小王:”两步验证。“

小王继续解释到,两步验证(Two-factor authentication,简称2FA),是一种认证方法,使用两种不同的元素,合并在一起,来确认使用者的身份。

在详细解释它的原理之前,先让我来给你讲个故事吧。

小王和钱庄的故事

从前有个商户小王,跟钱庄约定,每次取钱的时候都要对暗号:”急急如律令“,暗号正确才可以从钱庄提钱。小王本以为这样很安全,不想还是发生钱财被冒领的事件。原来小王在山西钱庄取钱的时候,口令被人偷听到了,那人就跑到山东的钱庄冒充小王领了一笔钱。

这样多不安全啊,小王于是跟钱庄的老板商定,每个钱庄暗号虽然一样,但是除了暗号之外,额外再加一个暗码。这个暗码不仅每个钱庄不同,而且同一个钱庄每次取钱的时候都不一样。

具体的方法就是小王和钱庄提前准备一份暗码表,里面有随机的暗码若干条,取钱时根据不同的条件对应不同的暗码,而且每个钱庄的暗码条件组合不一样。

比如在山西钱庄取钱时,如果现在是晴天,则对应暗码:甲,阴天则对应暗码:乙,雨天则对应暗码:丙。

在山东钱庄取钱时,不看天气,看日子。初一:甲,初二:乙,初三:丙,以此类推。

有了这样的安全措施,小王从此以后就可以高枕无忧了。

两步验证的原理

两步验证采取的措施,跟刚才的故事很像。下面我们通过两步验证的使用步骤来讲解它的原理。

第一步,下载一个客户端。Andriod平台基本用Google Authenticator,IOS平台除了Google Authenticator,还有Tofu、Authy、SAASPASS等等多种选择

支持两步验证的客户端

第二步,在服务端(支持两步验证的网站)申请开启两步验证。此时服务端会生成一个类似于[DPI45HKISEXU6HG7]的密钥K,同时生成一个二维码,将密钥K通过二维码展示。

第三步,客户端获取密钥K。使用客户端扫描二维码,获取密钥K,并保存在客户端。此时密钥K只有服务端和客户端知道,其它任何第三方都不清楚。

第四步,客户端生成一次性密码S。客户端对密钥K和当前时间T的组合(K,T)使用HOTP(HMAC-Based One-Time Password)算法计算密码S,公式如下:

S = Truncate(HMAC-SHA-1(K,T))

由于HOTP算法生成的密码位数较长,不方便用户输入,因此只截取一部分数字作为密码,例如前6位数字。

当时间T不同时,生成的S也不一样。这个T如果变化太快(例如1秒变动一次),用户会来不及输入密码。如果变化太慢(例如一个月变动一次),会存在被人暴力破解的风险。通用的做法是30秒变化一次,既保证用户有足够的时间输入密码,又降低被破解的风险。

6位验证码

第五步,服务端校验密码S。服务端使用相同的算法,校验客户端上传的密码S是否正确。

以上就是两步验证的原理了。在互联网时代,账号密码的安全问题越来越突出,两步验证是保护密码安全的一大利器,推荐大家在涉及隐私、财产安全的重要网站上都加上两步验证,保障自己的账号安全。

博文地址

https://www.taowong.com/blog/2018/07/10/two-step-verification.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值