被盗号
“您的账号密码有误,请重新输入”
小卢盯着电脑屏幕看了5分钟,心里纳闷,昨天还能登录,怎么今天就密码错误了,难不成我被盗号了?想到这里,小卢赶紧给自己的程序员好友小王打电话。
小卢:“小王,我在XX网站的账号被盗了!”
小王:“确定被盗了?赶紧把密码找回来。还有,你在其它网站的账号有没有被盗?“
小卢:“试过了,账号密码是一样的,好多都登录不上……”
小王:“哎,事到如今,只能事后补救了。不过把所有网站的账号密码都设置成一样的,很不安全啊。”
小卢:“还不是图个省事嘛,现在网站那么多,要是每个的密码都不一样,太难记了。”
小王:“没关系,我有一个安全神器,现在传授给你,即使所有网站密码都是一样的,也可以避免一窝端。”
小卢:”是什么?赶紧告诉我!“
小王:”两步验证。“
小王继续解释到,两步验证(Two-factor authentication,简称2FA),是一种认证方法,使用两种不同的元素,合并在一起,来确认使用者的身份。
在详细解释它的原理之前,先让我来给你讲个故事吧。
小王和钱庄的故事
从前有个商户小王,跟钱庄约定,每次取钱的时候都要对暗号:”急急如律令“,暗号正确才可以从钱庄提钱。小王本以为这样很安全,不想还是发生钱财被冒领的事件。原来小王在山西钱庄取钱的时候,口令被人偷听到了,那人就跑到山东的钱庄冒充小王领了一笔钱。
这样多不安全啊,小王于是跟钱庄的老板商定,每个钱庄暗号虽然一样,但是除了暗号之外,额外再加一个暗码。这个暗码不仅每个钱庄不同,而且同一个钱庄每次取钱的时候都不一样。
具体的方法就是小王和钱庄提前准备一份暗码表,里面有随机的暗码若干条,取钱时根据不同的条件对应不同的暗码,而且每个钱庄的暗码条件组合不一样。
比如在山西钱庄取钱时,如果现在是晴天,则对应暗码:甲,阴天则对应暗码:乙,雨天则对应暗码:丙。
在山东钱庄取钱时,不看天气,看日子。初一:甲,初二:乙,初三:丙,以此类推。
有了这样的安全措施,小王从此以后就可以高枕无忧了。
两步验证的原理
两步验证采取的措施,跟刚才的故事很像。下面我们通过两步验证的使用步骤来讲解它的原理。
第一步,下载一个客户端。Andriod平台基本用Google Authenticator,IOS平台除了Google Authenticator,还有Tofu、Authy、SAASPASS等等多种选择
第二步,在服务端(支持两步验证的网站)申请开启两步验证。此时服务端会生成一个类似于[DPI45HKISEXU6HG7]的密钥K,同时生成一个二维码,将密钥K通过二维码展示。
第三步,客户端获取密钥K。使用客户端扫描二维码,获取密钥K,并保存在客户端。此时密钥K只有服务端和客户端知道,其它任何第三方都不清楚。
第四步,客户端生成一次性密码S。客户端对密钥K和当前时间T的组合(K,T)使用HOTP(HMAC-Based One-Time Password)算法计算密码S,公式如下:
S = Truncate(HMAC-SHA-1(K,T))
由于HOTP算法生成的密码位数较长,不方便用户输入,因此只截取一部分数字作为密码,例如前6位数字。
当时间T不同时,生成的S也不一样。这个T如果变化太快(例如1秒变动一次),用户会来不及输入密码。如果变化太慢(例如一个月变动一次),会存在被人暴力破解的风险。通用的做法是30秒变化一次,既保证用户有足够的时间输入密码,又降低被破解的风险。
第五步,服务端校验密码S。服务端使用相同的算法,校验客户端上传的密码S是否正确。
以上就是两步验证的原理了。在互联网时代,账号密码的安全问题越来越突出,两步验证是保护密码安全的一大利器,推荐大家在涉及隐私、财产安全的重要网站上都加上两步验证,保障自己的账号安全。
博文地址
https://www.taowong.com/blog/2018/07/10/two-step-verification.html