使用 Golang 實現基于時間的一次性密碼 TOTP
什么是一次性密碼 OTP ?
一次性密碼(One Time Password),簡稱 OTP,是只能使用一次的密碼。每次做身份認證時都會生成一個新的密碼,在使用一次之后立即失效,不能重復使用。這種密碼只能使用一次,因此即使攻擊者能夠竊取到密碼,也無法再次使用該密碼進行身份認證。
一次性密碼的優點
- 安全性高,一次性密碼只能使用一次,所以即使攻擊者能夠截獲密碼,也無法再次使用該密碼進行第二次認證。
- 易于使用,一次性密碼通常是通過短信、電子郵件或專用的身份驗證應用程序發送給用戶的,通常是4到8位的數字、字母或數字字母組合,用戶只需要輸入收到的密碼并且很方便輸入。
- 無需記憶,與傳統的靜態密碼不同,用戶不需要記住一次性密碼,降低了用戶的認知負擔,并減少了因忘記密碼而導致的問題。
接下來看一下一次性密碼實現的幾種方式。
基于時間的一次性密碼(Time-based One-Time Password,TOTP)
密碼的有效性依賴當前的時間,每個密碼都有一個固定的有效期,例如30秒或60秒。在這個時間窗口結束后,密碼會自動失效,系統會生成一個新的密碼。
這種方法的優點是不依賴于網絡連接,因此即使在沒有網絡連接的情況下,用戶也可以生成密碼。這種方法的缺點是對時間的同步要求較高,需要客戶端和服務器之間的時間保持精確同步,并且用戶必須在指定的時間窗口內輸入密碼,否則密碼就會失效。
基于哈希的一次性密碼(Hash-based One-Time Password,HOTP)
密碼的生成依賴一個密鑰和一個計數器。每當用戶請求一個新的密碼時,計數器就會增加,然后使用哈希函數和密鑰生成一個新的密碼。這種方法的優點是不依賴時間,因此用戶可以在任何時間輸入密碼。相應的缺點是如果計數器的值在服務器和用戶設備之間不同步,就可能導致問題。
基于短信的一次性密碼(SMS-based One-Time Password,SOTP)
密碼需要通過短信發送給用戶,當用戶需要進行身份認證時,系統會發送一個密碼到用戶的手機。這種方法的優點是很方便直觀,相應的缺點是依賴手機網絡,如果用戶沒有手機信號或者手機被盜,就無法接收密碼。此外,這種方法也容易受到短信劫持的攻擊。
基于電子郵件的一次性密碼(Email-based One-Time Password,EOTP)
密碼通過電子郵件發送給用戶。與基于短信的一次性密碼類似,這種方法的優點是很容易理解和使用。相應的缺點是依賴電子郵件,如果用戶無法訪問自己的電子郵件,就無法接收密碼。此外,這種方法也容易受到電子郵件劫持的攻擊。
理論上來說,一次性密碼是最安全的。但目前還沒有理想的一次性密碼的實現方式,大多數情況下,一次性密碼的使用場景還是用于輔助身份認證。
因為 TOTP 是標準化的協議并且被廣泛采用,所以有很多對應的移動應用或者 web 應用實現,被稱為身份驗證器應用,例如 Google Authenticator、Microsoft Authenticator 等。Golang 也有很多優秀的三方庫可以幫助我們快速實現 TOTP 的服務端實現,其中比較有代表性的是 pquerna/otp 庫,接下來就使用這個庫來演示一下 TOTP 的服務端實現流程。
為用戶生成 TOTP Key
用戶開啟雙因子認證時,為用戶生成 TOTP Key,用于生成 TOTP 密碼。將這個密碼保存在數據庫或者秘鑰管理系統中,生成 key 的關鍵代碼如下:
key, err := totp.Generate(totp.GenerateOpts{
Issuer: "Github",
AccountName: "user@example.com",
Period: 30,
Digits: otp.DigitsSix,
Algorithm: otp.AlgorithmSHA1,
})這幾個參數的意思如下:
- Issuer 意思是應用名稱,例如 Github。
- AccountName 意思要給哪個用戶生成 key。
- Period 意思是 TOTP 密碼的有效時間,也是不同 TOTP 密碼的生成時間間隔,一般為 30 秒。
- Digits 意思是生成的密碼長度,一般為 6 位。
- Algorithm,用于 HMAC 簽名的算法,默認是 SHA1。
把密鑰和密碼生成規則分享給用戶
通常是將秘鑰和密碼規則信息以二維碼的形式展示給用戶,用戶使用身份驗證器應用掃描二維碼保存相關信息并且生成密碼。二維碼中的內容格式一般如下:
otpauth://totp/Github:user@example.com?algorithm=SHA1&digits=6&issuer=Github&period=30&secret=5RLOAFJOB6LRV7WOKFIMDZ5IESZ7L3JM
為用戶提供“恢復碼” Recovery Codes
生成“恢復碼” Recovery Codes (使用隨機生成的字符串即可)存儲到數據庫或者秘鑰管理系統中。當用戶不能訪問自己的 TOTP 設備(例如將 TOTP 應用中的 TOTP 秘鑰刪除了、將 TOTP 應用卸載了、手機丟失了等)時,就無法登錄自己的帳戶了。因為這種情況比較常見,所以很多網站都會給用戶提供“備份代碼”或“恢復代碼”,并且每個只能使用一次,可以臨時用來代替 TOTP 密碼。
校驗用戶輸入的 TOTP 密碼
用戶再次登錄后,觸發雙因子認證,要求用戶輸入 TOTP 密碼,服務端檢驗這個密碼。校驗的關鍵代碼如下:
// 驗證一次性密碼
isValid := totp.Validate(passcode, key.Secret())模擬生成密鑰、校驗密碼的代碼
package main
import (
"fmt"
"time"
"github.com/pquerna/otp"
"github.com/pquerna/otp/totp"
)
func main() {
// 生成密鑰
key, err := totp.Generate(totp.GenerateOpts{
Issuer: "Github",
AccountName: "user@example.com",
Period: 30,
Digits: otp.DigitsSix,
Algorithm: otp.AlgorithmSHA1,
})
if err != nil {
panic(err)
}
fmt.Println("Secret URL: ", key.URL())
// 模擬生成一個一次性密碼
now := time.Now()
passcode, err := totp.GenerateCode(key.Secret(), now)
if err != nil {
panic(err)
}
// 驗證一次性密碼
valid := totp.Validate(passcode, key.Secret())
if valid {
fmt.Println("Valid passcode!")
} else {
fmt.Println("Invalid passcode!")
}
}
