.:. 草榴社區 » 技術討論區 » 浅谈论坛二次验证原理以及本地如何实现
本頁主題: 浅谈论坛二次验证原理以及本地如何实现字體大小 寬屏顯示 只看樓主 最新點評 熱門評論 時間順序
梁家河学霸


級別:騎士 ( 10 )
發帖:673
威望:291 點
金錢:14708 USD
貢獻:1958 點
註冊:2024-04-16

浅谈论坛二次验证原理以及本地如何实现

      本人在某大型国企混日子,涉及到工作主要为信息技术方面,俗称码农。前段时间,公司某人邮箱账号密码被盗,大晚上给全集团公司发钓鱼诈骗邮件。某些个员工真就上当了,上当就上当吧,结果还报警了,肯定留下报警记录。哎,年末大领导去国资委述职,少不了要被点名这次不光彩的事了。部门领导很生气,就找上我们这些底层了,要加强信息安全,准备信息安全材料,全公司上上下下学习,其中就涉及到相关二次验证的方面。这里就把Google二次验证的修改一下搬运过来。
    二次验证的原理是一种双重认证机制,旨在提高账户的安全性,防止因密码泄露而导致的未经授权访问。以Google为例,它使用的OTP(One-Time Password)通常基于TOTP(Time-Based One-Time Password)或者HOTP(HMAC-Based One-Time Password)标准。通常采用TOTP。其原理如下:TOTP使用一个共享密钥当前时间戳生成一个一次性密码。这个验证码通常每30秒或60秒更新一次,确保其短暂有效性,增加了安全性。其核心公式如下(百度吧,这公式实在不好打)
                                       
    其步骤如下:
                                 

    下面是python实现的代码:
     
複製代碼
  1. import time
  2. import hmac
  3. import base64
  4. import struct
  5. import hashlib
  6. def generate_totp(secret, interval=30, digits=6):
  7.     # Step 1: 将密钥解码成字节
  8.     key = base64.b32decode(secret, True)
  9.     # Step 2: 获取当前时间戳并计算时间步长
  10.     current_time = int(time.time() / interval)
  11.     # Step 3: 将时间步长转换为8字节的二进制数据
  12.     msg = struct.pack(">Q", current_time)
  13.     # Step 4: 计算HMAC-SHA1
  14.     hmac_hash = hmac.new(key, msg, hashlib.sha1).digest()
  15.     # Step 5: 动态截断
  16.     offset = hmac_hash[-1] & 0x0F  # 获取HMAC的最后一个字节的低4位
  17.     binary_code = struct.unpack(">I", hmac_hash[offset:offset + 4])[0] & 0x7FFFFFFF  # 截取31位
  18.     # Step 6: 取模,生成6位验证码
  19.     otp = binary_code % (10 ** digits)
  20.     return str(otp).zfill(digits)
  21. # 示例:生成TOTP验证码
  22. secret = "JBSWY3DPEHPK3PXP"  # 示例密钥,实际应用中应为每个用户生成唯一密钥
  23. totp_code = generate_totp(secret)
  24. print(f"当前的TOTP验证码是: {totp_code}")
複製代碼



    那么,针对1024社区而言,当你点击开启二次验证是,服务器会给你一个16位的随机密钥,一定要牢记。一定要牢记。一定要牢记。这个时候服务器端会给将这个密钥记录下来,然后你打开二次验证APP,将这个密钥输进去,然后密钥结合当前时间戳基于TOTP生成一个6位数的一次性密码,当你将这个一次性密码上传给服务器时,服务器也会通过相同的TOTP算法计算得到一个一次性6位密码,两者匹配成功,即获得验证。另外一点,无需担心你的二次验证APP故障,因为基于TOTP算法国际统一,只要任意一个基于TOTP算法得到结果都是一样的,包括我上面提供的代码,计算获得的一次性密码全都一样。因此,只要记牢你的那个16位随机密钥就行。


          这里原理其实很简单,主要让不了解的人了解。毕竟人们对熟悉的事物有一种天然的信任和倾向,在很多情况下,用户更愿意接受自己理解的东西。最后,一定要熟记自己的随机密钥,一定要熟记自己的随机密钥,一定要熟记自己的随机密钥。


赞(76)
DMCA / ABUSE REPORT | TOP Posted: 09-27 10:45 發表評論
梁家河学霸 [樓主]


級別:騎士 ( 10 )
發帖:673
威望:291 點
金錢:14708 USD
貢獻:1958 點
註冊:2024-04-16

回复楼上的,怎么变到这里了


[ 此貼被梁家河学霸在2024-09-27 15:30重新編輯 ]
TOP Posted: 09-27 14:53 #1樓 引用 | 點評
梁家河学霸 [樓主]


級別:騎士 ( 10 )
發帖:673
威望:291 點
金錢:14708 USD
貢獻:1958 點
註冊:2024-04-16

引用
引用第3樓要用中文名於2024-09-27 10:58發表的 :
楼主可否科普一点,用户的随机密钥如何保存在网站能确保安全不会被窃取?如果网站数据库被攻破,密钥也泄露,那么二次验证也就没有意义了。

额,用户的随机密钥一般通过一个对称密钥加密后存到数据库中,比如你的随机密钥是123456这是你看到的。但保存到数据库的可能就是经过对称加密后的一个长度为32位的随机字符串。一般情况下,这个对称密钥会定时更新。所以即使攻破数据库也没什么用,除非数据库设计者缺乏安全远见,直接明文将密码123456保存到数据库里


點評

    TOP Posted: 09-27 15:28 #2樓 引用 | 點評
    .:. 草榴社區 » 技術討論區

    電腦版 手機版 客戶端 DMCA
    用時 0.01(s) x3, 12-23 03:39