如何使用随机数进行双因素身份验证？

Question

我理解两个因素身份验证的基本思想:使用两个凭据来更安全地验证用户。我询问的是一种特殊的双因素认证方法，我经常遇到这种方法。

当我打开我的Google帐户的两个因素认证时，我能够访问我的iPhone上频繁变化的伪随机数。这些随机数构成了第二个身份验证因子(另一个是我的密码)，我可以输入这些数字来验证自己。

我真正不明白的是，当我的iPhone离线时，这些数字仍然可以用来验证我的身份。因此，很明显，无论发生什么事情，都比谷歌验证我有他们给我的一些号码更有趣。

我对到底发生了什么很感兴趣。伪随机数是系统时间的键散列吗？这是我最好的猜测，但我很好奇。

Answer 1

你所说的“伪随机数”是一次性密码(OTP)。这些密码是根据该算法生成的。如果您讨论频繁更改OTP，则使用TOTP算法。TOTP (基于时间的一次性密码)算法是指生成一个临时密码.此密码通常在30-60秒内过期。您的设备不需要联机，因为OTP是基于密钥生成的，这对于您的设备和服务来说是一样的。因此，设备和服务器生成相同的密码，当您在访问帐户的过程中输入OTP时，服务器将检查OTP是否正确。基于此，服务器确认或拒绝对帐户的访问。