Coding 两步认证技术介绍

什么是两步认证

在介绍两步认证以前，首先来看下目前主流的几种认证方式。

 

 

上图中的认证方式大致上能够分为三大类

1.You know ： 好比密码，这种只有咱们知道的

2.You are ： 好比指纹，这种只有咱们拥有的

3.You have ： 好比信用卡，这种只属于你的

了解上面所说的三大类以后，咱们就很容易的理解下面几点。

什么是两步认证？

两步验证，对应的英文是 Two-factor Authentication（2FA）,从名字能够看出，「两步」是 2FA 的重点，而两步就是咱们上面所提到的 You know + You Have ，也就是 密码 + 一次性密码（One Time Password，OTP）

为何咱们须要两步验证？

传统的密码认证方式，若是在用户名密码在其余网站上泄露，任何用户均可以使用你的帐号密码进行登录作任何操做。但有了两步认证就能在必定程度上有效的避免这种状况的发生。由于在每次登陆时，不只须要输入您的账户密码，还需输入移动设备为您生成的一次性动态验证码

OTP

前面说过，2FA 中使用的是一次性密码（One Time Password，OTP），也被称做动态密码。通常 OTP 有两种策略：HOTP ( HMAC-based One Time Password) 和TOTP ( Time-based One-time Password) 。目前被普遍使用的正是后者这种基于时间的动态密码生成策略。

算法大致是这样：

1. 客户端和服务器事先协商好一个SECRET，用于一次性密码的生成过程，此密钥不被任何第三方所知道。此外，客户端和服务器都采用时间作计数器。
2. 客户端对密钥和计数器的组合(SECRET,time/30)使用HMAC（Hash-based Message Authentication Code）算法计算一次性密码，公式以下：HMAC-SHA-1(SECRET, time/30)
3. 各类算法加特效后成6位数字

在这里就只简要介绍该算法，如想深刻了解
==> https://tools.ietf.org/html/rfc6238

基于TOTP的密码有以下特色

1. 无需记忆，不会产生password这样的泄漏问题
2. 动态生成,每30s生成一个，安全性大大提升
3. 对网络无要求，离线下仍可正常使用
4. 成本低，无需购买硬件和软件

两步认证流程

1. 服务器随机生成一个相似于『DPI45HKISEXU6HG7』的密钥，而且把这个密钥保存在数据库中。
2. 在页面上显示一个二维码，内容是一个URI地址（otpauth://totp/帐号?secret=密钥?issuer=厂商）
3. 客户端扫描二维码，把密钥『DPI45HKISEXU6HG7』保存在客户端。
4. 客户端每30秒使用密钥『DPI45HKISEXU6HG7』和时间戳经过TOTP『算法』生成一个6位数字的一次性密码

两步认证的其余状况

而后仅仅只是作好上面这种正常的验证流程是不够的，Coding 的两步认证在一些异常状况下作了不少处理。

1. 生成的 OPT 应该是不能复用的，也就是用户在登录或者危险操做时输入完一次 OPT 后，手机端 OPT 仍然未刷新时，在进行登录或者危险操做时输入刚才的OPT是无效的，必须等待手机上OPT的刷新。
2. 既然能够离线使用，那么怎么保证时间的差别性，咱们服务端会兼容服务器时间的先后30s。从而有效的避免细微时间上差别而致使的验证失败，同时也避免了用户刚输入完 OPT 后还未作提交操做时 OPT 刷新而引发验证失败。
3. 在遇到使用遍历全部6位数数字进行暴力破解 OPT 时，咱们会对错误次数进行限制，90s 限制其错误次数能有效避免暴力破解的出现。
4. 在开启两部认证后，其余全部登录的客户端都会由于开启两部认证而过时，必须从新登录。

两部认证的实现

目前 Coding 采用的 https://github.com/wstrange/GoogleAuth 实现的TOTP 算法，在提供 TOTP 算法以外，该库提供了能够存储用户 secret 的接口，采用的 ServiceLoader 方式，ServiceLoader 方式能够经过连接了解更多==>http://docs.oracle.com/javase/6/docs/api/java/util/ServiceLoader.html

参考阅读

1. http://jacob.jkrall.net/totp
2. http://www.insaneprogramming.be/blog/2014/05/14/two-factor-otp-security
3. https://github.com/google/google-authenticator-android
4. https://github.com/google/google-authenticator/tree/master/mobile/ios