兩步验证的原理

被盗号

“您的账号密码有误,请重新输入”

小卢盯着电脑屏幕看了5分钟,心里纳闷,昨天还能登录,怎么今天就密码错误了,难不成我被盗号了?想到这里,小卢赶紧给自己的程序员好友小王打电话。

小卢:“小王,我在XX网站的账号被盗了!” 小王:“确定被盗了?赶紧把密码找回来。还有,你在其它网站的账号有没有被盗?“ 小卢:“试过了,账号密码是一样的,好多都登录不上……” 小王:“哎,事到如今,只能事后补救了。不过把所有网站的账号密码都设置成一样的,很不安全啊。” 小卢:“还不是图个省事嘛,现在网站那么多,要是每个的密码都不一样,太难记了。” 小王:“没关系,我有一个安全神器,现在传授给你,即使所有网站密码都是一样的,也可以避免一窝端。” 小卢:”是什么?赶紧告诉我!“ 小王:”两步验证。“

小王继续解释到,两步验证(Two-factor authentication,简称2FA),是一种认证方法,使用两种不同的元素,合并在一起,来确认使用者的身份。

在详细解释它的原理之前,先让我来给你讲个故事吧。

小王和钱庄的故事

从前有个商户小王,跟钱庄约定,每次取钱的时候都要对暗号:”急急如律令“,暗号正确才可以从钱庄提钱。小王本以为这样很安全,不想还是发生钱财被冒领的事件。原来小王在山西钱庄取钱的时候,口令被人偷听到了,那人就跑到山东的钱庄冒充小王领了一笔钱。

这样多不安全啊,小王于是跟钱庄的老板商定,每个钱庄暗号虽然一样,但是除了暗号之外,额外再加一个暗码。这个暗码不仅每个钱庄不同,而且同一个钱庄每次取钱的时候都不一样。

具体的方法就是小王和钱庄提前准备一份暗码表,里面有随机的暗码若干条,取钱时根据不同的条件对应不同的暗码,而且每个钱庄的暗码条件组合不一样。

比如在山西钱庄取钱时,如果现在是晴天,则对应暗码:甲,阴天则对应暗码:乙,雨天则对应暗码:丙。

在山东钱庄取钱时,不看天气,看日子。初一:甲,初二:乙,初三:丙,以此类推。

有了这样的安全措施,小王从此以后就可以高枕无忧了。

两步验证的原理

两步验证采取的措施,跟刚才的故事很像。下面我们通过两步验证的使用步骤来讲解它的原理。

第一步,下载一个客户端。Andriod平台基本用Google Authenticator,IOS平台除了Google Authenticator,还有Tofu、Authy、SAASPASS等等多种选择

支持两步验证的客户端

第二步,在服务端(支持两步验证的网站)申请开启两步验证。此时服务端会生成一个类似于[DPI45HKISEXU6HG7]的密钥K,同时生成一个二维码,将密钥K通过二维码展示。

第三步,客户端获取密钥K。使用客户端扫描二维码,获取密钥K,并保存在客户端。此时密钥K只有服务端和客户端知道,其它任何第三方都不清楚。

第四步,客户端生成一次性密码S。客户端对密钥K和当前时间T的组合(K,T)使用HOTP(HMAC-Based One-Time Password)算法计算密码S,公式如下:

S = Truncate(HMAC-SHA-1(K,T))

由于HOTP算法生成的密码位数较长,不方便用户输入,因此只截取一部分数字作为密码,例如前6位数字。

当时间T不同时,生成的S也不一样。这个T如果变化太快(例如1秒变动一次),用户会来不及输入密码。如果变化太慢(例如一个月变动一次),会存在被人暴力破解的风险。通用的做法是30秒变化一次,既保证用户有足够的时间输入密码,又降低被破解的风险。

6位验证码

第五步,服务端校验密码S。服务端使用相同的算法,校验客户端上传的密码S是否正确。

以上就是两步验证的原理了。在互联网时代,账号密码的安全问题越来越突出,两步验证是保护密码安全的一大利器,推荐大家在涉及隐私、财产安全的重要网站上都加上两步验证,保障自己的账号安全。

上篇自建服务器翻墙傻瓜教程
下篇集中式缓存