【認證與授權】曇花一現的OTP如何保護我們的資產

使用網銀時我們常常會聽到OTP、OTP, 究竟OTP是什麼呢？ 全名為「One Time Password」, 一次性密碼, 顧名思義就是密碼僅能一次性的使用, 在過去我們也都很清楚單純的帳號密碼登入已經不是一個非常安全的選項的, 萬一牽涉到重要的金錢交易時, 如果安全環節沒有兼顧, 將導致個人財產損失, 因此也讓各家銀行都將OTP的技術導入變成一種基本功能。

OTP的工作原理是生成一個只能使用一次且有時限的密碼，這個密碼在每次使用後就會失效，無法再重複使用。這樣的設計可以有效防止密碼被竊取或重複使用，提高帳戶的安全性。

常見的OPT生成方式包括以下幾種：

1. 手機應用程式：使用者在手機上安裝一個OTP生成器應用程式（例如Google Authenticator、Authy），該應用程式會根據特定演算法和密鑰生成一個短暫性的OTP。

2. 簡訊：使用者在登錄或進行特定操作時，系統會向其註冊的手機號碼發送一條包含OTP的簡訊。

3. 電子郵件：OTP也可以通過電子郵件發送給使用者，使用者在登錄時需要輸入郵件中提供的OTP。

當使用者收到OTP後，他們需要在指定的時間內輸入這個密碼，以完成身份驗證或授權的過程。由於OTP只能使用一次且有時效性，即使有人盜取了OTP，也無法在有效期過後再次使用。

非常清楚，登入前服務提供者與Google Authenticator之間已經約定好: 每次登入前核發一組一次性密碼，而用戶則輸入這組一次性密碼進行登入並操作，確保安全性。

實務上，我們也會在手機裝上Google Authenticator。

至於如何註冊與使用，官方文件都有詳細的說明，這裡就直接附上傳送門，請大家自行閱讀囉：

基於時間的算法, 讓驗證碼具有時效性, 因此會依賴於時間。

1. 生成共享密鑰：服務提供商在用戶註冊時生成一個共享密鑰，並將其與用戶帳戶關聯。

2. 生成時間戳記：TOTP 基於時間，所以需要一個時間戳記。通常是以一個固定的時間間隔（例如 30 秒）為單位。

3. 用戶計算一次性密碼：用戶設備上的 TOTP 客戶端使用共享密鑰和當前的時間戳記來計算一次性密碼。計算過程包括將時間戳記除以時間間隔並向下取整，將結果與共享密鑰結合，然後進行哈希運算以生成一次性密碼。

4. 用戶提供一次性密碼：用戶將計算得到的一次性密碼提供給服務提供商進行驗證。

5. 服務提供商驗證一次性密碼：服務提供商使用相同的共享密鑰和時間戳記計算一次性密碼，然後比對用戶提供的一次性密碼和計算得到的一次性密碼是否匹配。如果匹配，驗證成功。

這種OTP模式是比較常見的一種模式，除了達到一次性以外，連同時效性也一併考慮，非常適合用於轉帳、錢包…等重要的資產轉移驗證。

基於Counter的算法, 計數器的值是每次使用後遞增的, 這樣每次生成的一次性密碼都是不同的。

1. 生成共享密鑰：服務提供商在用戶註冊時生成一個共享密鑰，並將其與用戶帳戶關聯。

2. 初始化計數器：將一個初始計數器（通常為 0）與用戶帳戶關聯。

3. 用戶計算一次性密碼：用戶設備上的 HOTP 客戶端使用共享密鑰和計數器來計算一次性密碼。計算過程包括將計數器轉換為固定位數的數字字串，將共享密鑰和計數器進行結合，然後進行哈希運算以生成一次性密碼。

4. 用戶提供一次性密碼：用戶將計算得到的一次性密碼提供給服務提供商進行驗證。

5. 服務提供商驗證一次性密碼：服務提供商使用相同的共享密鑰和計數器計算一次性密碼，然後比對用戶提供的一次性密碼和計算得到的一次性密碼是否匹配。如果匹配，驗證成功。

目前蠻多應用程式都有綁上Google Authenticator做為OTP驗證的加強功能， 讓我們的登入除了帳號密碼之外, 更確保是本人所登入的, 增加駭客盜竊的難度, 除了需要偷竊到該網站的帳號密碼之外, 還需要破解OTP的驗證碼, 甚至是綁定於裝置上的Google Authenticator, 這無疑是大幅增加了難度, 等於駭客要針對某一位用戶進行入侵, 相對不容易啊！

我們在前面也介紹過「【認證與授權】JWT(JSON Web Token)簡介」的概念, 有限時間內的通行證, 而這次的OTP更加安全, 除了有限的時間以外, 更限制僅能使用一次, 大幅度增加駭客破解的難度, 因此許多網站與應用程式都會綁定這種OTP功能是基於安全考量的, 隨著複雜科技的發展, 加上大量數位化的趨勢, 諸如金融交易、虛擬錢包…等與金錢有關的應用都應該加入此機制, 減少被竊取的風險。

喜歡撰寫文章的你，不妨來了解一下：

歡迎加入一起練習寫作，賺取知識，累積財富！