资讯专栏INFORMATION COLUMN

谷歌验证器的原理及实现

Genng / 2825人阅读

摘要:阅读本篇文章你可以了解到谷歌验证器的实现原理,并且可以自己使用实现支持谷歌验证器的两步验证。并且发现,除了的两步验证之外,其它两步验证很多能看到谷歌验证器的身影。

阅读本篇文章你可以了解到谷歌验证器的实现原理,并且可以自己使用node.js实现支持谷歌验证器的两步验证。

这两年发现身边的很多应用和网站纷纷支持两步验证,并且呼吁用户使用两步验证。

并且发现,除了Apple ID的两步验证之外,其它两步验证很多能看到谷歌验证器(Google Authenticator)的身影。

这让我产生了浓厚的兴趣,到底谷歌验证器的原理是什么,我自己能实现一个类似的验证器吗?

什么是两步验证

两步验证就是当用户输入账号密码并验证成功之后,需要额外输入一串一次性随机密码(一般是4-6位的数字),服务器以此确认登录者是用户本人。

两步验证的类型

短信验证
短信验证也是我们最熟悉最常用的两步验证,但是我认为短信验证有有以下几个缺点:需支付运营商短信费用、短信到达延迟、短信压根就没到达而网站不允许你立刻再次重发。相信你也有过等一条短信让你抓狂的经历。

动态密码器
玩过网易游戏的同学应该知道网易将军令,还有部分银行提供的动态密码器。我记得我以前第一次见到这个东西的时候就觉得很神奇,这东西不用联网居然就能验证用户。实际上它的实现原理和Google验证器的实现原理差不多,后面我们会详细讲到。

口令卡
口令卡是我认为最反人类的设计。曾经办工商银行网上银行的时候就有过一张,它上面是以矩阵的形式排列若干个字符,系统会给你一些坐标,要求你根据坐标找出相应的字符输入到系统。?%&¥#……(*#)我从来没用过。不可能的,这辈子不可能用口令卡的。。

两步验证的重要性

两步验证从用户体验的角度来说肯定是不友好的,因为用户登录或者操作一个开启两步验证的网站时,用户需要额外输入一串随机密码以确认用户是本人操作。对于大多数人来说可能觉得这操作就是多余的,麻烦的。这么麻烦不如关掉。

我建议对于比较重要的账号,如果该应用提供了两步验证,最好开启。安全第一。

我举一下我身边的一个栗子?
大概是2016年,我女朋友的Apple ID被盗。盗号者解绑了她的邮箱,改用盗号者的邮箱,导致女朋友iPhone被锁。盗号者还发邮件勒索500元解锁,我还加了盗号者qq和他砍价,砍到了200元。最后当然是找苹果客服解锁,提供了各种照片、单据和电话确认,历时2天才解锁。总体没什么损失,就是给自己生活带来一些不便。看看知乎上被盗号并且盗刷信用卡支付宝的,那才叫惨烈。
如果被盗者开启了两步验证,即使别人有你的Apple ID的账号密码,也登录不了你的账号。

另外,可能很多用户喜欢在多个网站上使用相同的密码,这样是很危险的。如果用户一个网站上的账号被盗了,其它平台的账号可能也要遭殃。毕竟“某某平台的账号系统被盗”这种事也是时有发生的。这种情况开启两步验证也是能保护其它平台的账号不被不法分子利用。

HOTP 和 TOTP OTP

两步验证中使用的密码是一次性密码(One-Time Password 简称OTP),也称为动态口令。是使用密码技术实现的在客户端和服务器之间通过共享密钥的一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的两步验证认证技术。Wikipedia解释

HOTP (HMAC-Based One-Time Password Algorithm)

HOTP 是基于 HMAC 算法生成的一次性密码,也称事件同步的动态密码,是 ITEF RFC 4226 公开的算法规范, 伪代码如下:

HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))

客户端和服务器事先协商好一个密钥K,用于一次性密码的生成。客户端和服务器各有一个事件计数器C,并且事先将计数值同步。Truncate是将HMAC-SHA-1产生的20字节的字符串转换为若干位十进制数字的算法。

TOTP (Time-Based One-Time Password Algorithm)

TOTP 是 HOTP 的改良版,使用时间替换掉 HOTP 的事件计数器 C,也称时间同步的动态密码。详细规范见 RFC 6238,伪代码:

TOTP = Truncate(HMAC-SHA-1(K,T))

T = (Current Unix time - T0) / X
T0 是初试时间,默认为 0
X 是时间步长,默认30秒
官方文档中举了个栗子,假设当前unix时间=59,T0=0,X=30,则T=1
假设当前unix时间=60,T0=0,X=30,则T=2
也就是对T的值向下取整,抛弃小数的意思

实现

了解完了规范后,撸代码就简单了。

上面的算法除了HMAC-SHA-1之外就是Truncat了,贴一段Truncat的JS代码:

  // 将20字节的hmac结果转为6位数字,不够6位前面补0 
  truncat(hmac_result) {
    const offset   =  hmac_result[19].charCodeAt() & 0xf;
    const bin_code = (hmac_result[offset].charCodeAt()  & 0x7f) << 24
       | (hmac_result[offset + 1].charCodeAt() & 0xff) << 16
       | (hmac_result[offset + 2].charCodeAt() & 0xff) <<  8
       | (hmac_result[offset + 3].charCodeAt() & 0xff);
    let otp = (bin_code % 10 ** this.digit).toString();
    while (otp.length < this.digit) {
      otp = "0" + otp;
    }
    return otp;
  }

在线预览地址

代码已上传npm,支持node.js和浏览器执行
完整代码请移步我的Github https://github.com/wuyanxin/t...

安装
npm install totp.js
使用
const TOTP = require("totp.js");

// generate a base32 secret key
const key = TOTP.randomKey();
// "GAXGGYT2OU2DEOJR"

const totp = new TOTP(key);
const code = totp.genOTP();
// "552179"
totp.verify(code)
// true

// generate Google Authenticator supported URL
totp.gaURL("handsome@totp.js", "Totp.js")
// "otpauth://totp/handsome@totp.js?issuer=Totp.js&secret=GAXGGYT2OU2DEOJR"

// OR
const totp2 = new TOTP(TOTP.base32.encode("your key"));
totp2.genOTP()
参考

ITEF RFC 4226
ITEF RFC 6238

欢迎转载,转载请附上原文链接

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/93737.html

相关文章

  • 谷歌证器原理实现

    摘要:阅读本篇文章你可以了解到谷歌验证器的实现原理,并且可以自己使用实现支持谷歌验证器的两步验证。并且发现,除了的两步验证之外,其它两步验证很多能看到谷歌验证器的身影。 showImg(https://segmentfault.com/img/bV6UIW?w=540&h=238); 阅读本篇文章你可以了解到谷歌验证器的实现原理,并且可以自己使用node.js实现支持谷歌验证器的两步验证。 ...

    Winer 评论0 收藏0
  • QQ邮箱是如何泄密:JSON劫持漏洞攻防原理演练

    摘要:下面就是对这种攻击原理的介绍以及预防方法。针对该漏洞的特点,通过覆盖数组构造函数以窃取暴露返回数组,而现在大多数浏览器还无法防范这种攻击。在上周的挪威开发者大会上,我做了一个针对劫持漏洞的演示。 注:作者发表这篇文章的时间较早,某些方法可能并不是最好的解决方案,但针对这种漏洞进行的攻击还依然可见,如早期的:QQMail邮件泄露漏洞。直到现在,你在某些邮箱打开一个外部链妆,依然会有安全警...

    khlbat 评论0 收藏0
  • Etcd超全解:原理阐释部署设置最佳实践

    摘要:谷歌思科华为等等均是的贡献成员。其中谷歌云平台和等大型云提供商成功在生产环境中使用了。它为良好稳定的生产部署提供了一个良好的起点。预先准备在继续之前,我们需要准备一个谷歌云平台的账号免费的应该足够了。我们将为部署配置。 本文将带你充分了解Etcd的工作原理,演示如何用Kubernetes建立并运行etcd集群,如何与Etcd交互,如何在Etcd中设置和检索值,如何配置高可用等等。 sh...

    yhaolpz 评论0 收藏0
  • 深入理解HTTPS工作原理

    摘要:明文协议的缺陷是导致数据泄露数据篡改流量劫持钓鱼攻击等安全问题的重要原因。也就是说加上加密处理和认证以及完整性保护后即是。数字签名能确定消息的完整性证明数据是否未被篡改过。 前言 近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐的被HTTPS协议所取代,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了HTTPS加密时代,HTTPS将...

    iOS122 评论0 收藏0
  • 深入理解HTTPS工作原理

    摘要:明文协议的缺陷是导致数据泄露数据篡改流量劫持钓鱼攻击等安全问题的重要原因。也就是说加上加密处理和认证以及完整性保护后即是。数字签名能确定消息的完整性证明数据是否未被篡改过。 前言 近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐的被HTTPS协议所取代,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了HTTPS加密时代,HTTPS将...

    lylwyy2016 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<