兩步验证的原理

被盗号

“您的账号密码有误，请重新输入”

小卢盯着电脑屏幕看了5分钟，心里纳闷，昨天还能登录，怎么今天就密码错误了，难不成我被盗号了？想到这里，小卢赶紧给自己的程序员好友小王打电话。

小卢：“小王，我在XX网站的账号被盗了！”
小王：“确定被盗了？赶紧把密码找回来。还有，你在其它网站的账号有没有被盗？“
小卢：“试过了，账号密码是一样的，好多都登录不上…”
小王：“哎，事到如今，只能事后补救了。不过把所有网站的账号密码都设置成一样的，很不安全啊。”
小卢：“还不是图个省事嘛，现在网站那么多，要是每个的密码都不一样，太难记了。”
小王：“没关系，我有一个安全神器，现在传授给你，即使所有网站密码都是一样的，也可以避免一窝端。”
小卢：”是什么？赶紧告诉我！“
小王：”两步验证。“

小王继续解释到，两步验证(Two-factor authentication，简称2FA），是一种认证方法，使用两种不同的元素，合并在一起，来确认使用者的身份。

在详细解释它的原理之前，先让我来给你讲个故事吧。

小王和钱庄的故事

从前有个商户小王，跟钱庄约定，每次取钱的时候都要对暗号：”急急如律令“，暗号正确才可以从钱庄提钱。小王本以为这样很安全，不想还是发生钱财被冒领的事件。原来小王在山西钱庄取钱的时候，口令被人偷听到了，那人就跑到山东的钱庄冒充小王领了一笔钱。

这样多不安全啊，小王于是跟钱庄的老板商定，每个钱庄暗号虽然一样，但是除了暗号之外，额外再加一个暗码。这个暗码不仅每个钱庄不同，而且同一个钱庄每次取钱的时候都不一样。

具体的方法就是小王和钱庄提前准备一份暗码表，里面有随机的暗码若干条，取钱时根据不同的条件对应不同的暗码，而且每个钱庄的暗码条件组合不一样。

比如在山西钱庄取钱时，如果现在是晴天，则对应暗码：甲，阴天则对应暗码：乙，雨天则对应暗码：丙。

在山东钱庄取钱时，不看天气，看日子。初一：甲，初二：乙，初三：丙，以此类推。

有了这样的安全措施，小王从此以后就可以高枕无忧了。

两步验证的原理

两步验证采取的措施，跟刚才的故事很像。下面我们通过两步验证的使用步骤来讲解它的原理。

第一步，下载一个客户端。Andriod平台基本用Google Authenticator，IOS平台除了Google Authenticator，还有Tofu、Authy、SAASPASS等等多种选择

第二步，在服务端（支持两步验证的网站）申请开启两步验证。此时服务端会生成一个类似于[DPI45HKISEXU6HG7]的密钥K，同时生成一个二维码，将密钥K通过二维码展示。

第三步，客户端获取密钥K。使用客户端扫描二维码，获取密钥K，并保存在客户端。此时密钥K只有服务端和客户端知道，其它任何第三方都不清楚。

第四步，客户端生成一次性密码S。客户端对密钥K和当前时间T的组合(K,T)使用HOTP（HMAC-Based One-Time Password）算法计算密码S，公式如下：

S = Truncate(HMAC-SHA-1(K,T))

由于HOTP算法生成的密码位数较长，不方便用户输入，因此只截取一部分数字作为密码，例如前6位数字。

当时间T不同时，生成的S也不一样。这个T如果变化太快(例如1秒变动一次)，用户会来不及输入密码。如果变化太慢(例如一个月变动一次)，会存在被人暴力破解的风险。通用的做法是30秒变化一次，既保证用户有足够的时间输入密码，又降低被破解的风险。

第五步，服务端校验密码S。服务端使用相同的算法，校验客户端上传的密码S是否正确。

以上就是两步验证的原理了。在互联网时代，账号密码的安全问题越来越突出，两步验证是保护密码安全的一大利器，推荐大家在涉及隐私、财产安全的重要网站上都加上两步验证，保障自己的账号安全。

博文地址

https://www.taowong.com/blog/2018/07/10/two-step-verification.html