近日轉換跑道到一家做認證相關的資訊安全公司,因為有些新的東西可以分享,盡量是以讓一般人也能看得懂的方式進行說明,所以不會朝向專業方式太過複雜的解釋,第一篇先來個最近在做的OTP(One Time Password).
OTP全名為One Time Password 一次性密碼,主要是透過演算法在主機端與使用者端產生不可逆的唯一隨機密碼,讓使用者驗證可以多一個元素進行驗證,此由於密碼不可逆且可以透過不同方式呈現給使用者,故減少被駭客竊取或盜用的風險(E.g 密碼側錄…等),使驗證更加安全,並有分成Time Based、Even Based、Challenge-Response模式。
目前像是一些遊戲業者、網路服務業者、銀行都開始在使用這種技術。
(1)Time Based(時間模式):
主機端與使用者端都有一組特別編碼過的密碼(稱為seed),當需要產生OTP碼的時候會與時間為依據再加上演算法,在主機端與使用者端產生一組不可逆的唯一密碼,並彼此驗證,讓使用者進行登入驗證比對;又稱作TOTP。
Time Based OTP示意
