更换一次密码(OTP)

Question

OTP可能被称为新一代密码安全技术，但我想知道，经过几年的出现，它是否仍然足够安全?或者它很快就会被废弃？&替代它的可能性是什么？

Answer 1

一次性密码(不要与“一次性密码”混淆，这是一种理论上完善但实际上是重量级的加密技术)是一个很好的概念，它本身是不可取的。它仅仅意味着:给定的密码(即验证器和验证器之间共享的秘密值，用于身份验证)可以与验证器一起使用一次；换句话说，如果验证器(例如，您想登录的服务器)接受密码，但将拒绝使用相同密码的任何进一步尝试，那么它就是一次性密码。

一次性密码方案是指使用一次性密码概念，为双方(验证者和验证者)实际共享一次性密码建立规则和机制的系统。任何给定的方案都可以是弱的或强的，破碎的，不受欢迎的.但是这个概念并没有受到伤害。

RSA SecurID令牌可以被看作是一次性密码概念的化身--实际上是一个带有时钟的变体--而且它们非常活跃。

HOTP是一种免费和开放的标准，用于生成一次性密码(带有内部计数器)，可以通过极其便宜的硬件令牌来实现。

( Unix服务器的传统一次性密码认证方案使用软件生成密码列表，用户应该打印并保存在钱包中，删除使用过的密码。它从来没有流行过--我想它的技术太低了；用户不会惊讶到忘记摆弄有形物品的不便)。

Answer 2

有一次，密码(由RSA、SecurID或其他供应商实现)理论上是安全的，但与所有安全控制一样，在设计您的安全系统时必须考虑到这些限制。

OTP的实现可能存在实现或设计缺陷，可能允许规避这些缺陷。

OTP可以被攻击者通过特洛伊木马或XSS攻击的中介拦截和使用，例如在身份验证阶段(通常是以用户身份拒绝向您提供服务，因为另一方正在使用您新输入的OTP，从而使其无效)。

最重要的是，OTP系统通常限制自己对用户进行身份验证，而不是对事务进行身份验证。一旦对用户进行了身份验证，特洛伊木马就可能重复使用您与银行进行身份验证的web会话，例如，以一种诡秘的方式代表您执行事务。

虽然我认为OTP仍有光明的前景，但它们将通过进一步的安全控制得到加强，尤其是将越来越多地试图解决事务验证问题，而不是仅限于对用户进行身份验证。

Answer 3

一次密码是一种进行双因素身份验证的概念。用户知道的东西(密码)和用户拥有的东西(OTP生成器)。

一次性密码是藏品的证明。在这种情况下，“占有证明”的工作方式如下：

一次密码是由基于秘密氪图密钥和某些移动因子的HOTP (RFC4226)或TOTP (RFC6238)算法生成的。用户只有在拥有秘密密钥的情况下才能提供正确的一次密码。

这就是为什么您应该处理这个秘密密钥，并对谷歌认证器这样的OTP智能手机应用程序持怀疑态度。

但OTP的基本概念与公钥密码一样具有挑战性。拥有是指拥有秘密或私钥。

OTP使用的是秘密密钥，而不是私钥，因为用户应该能够输入结果(OTP值)。使用私钥，这是不可能的，因为私钥操作的结果太长。

私钥方案总是需要将硬件连接到机器(请参阅智能卡登录)。...and --这需要驱动程序和连接器。(用iphone 11试试这个;-)

所以是的，我认为OTP的基本概念是- a.k.a。用一个秘密的钥匙-还会在附近一段时间。