身份与访问
一次性密码 (OTP)
别称: OTP, 一次性口令
定义
只在一次登录尝试或短暂时间窗口内有效的短位数字码,通常用作第二认证因素。
一次性密码 (OTP) 是一种只能使用一次的凭据,因此即便被截获,过期后也无法被攻击者重用。OTP 通过认证器(手机应用、硬件令牌)与服务器共享的算法生成:HOTP 基于事件计数器、TOTP 基于当前时间、挑战-响应型 OTP 则使用服务器下发的 challenge。常见的下发渠道包括认证器 APP、硬件令牌、短信和邮件。相较静态密码,OTP 显著增强了认证强度,但仍可能被基于反向代理的实时钓鱼绕过;对于高价值账户应优先使用 FIDO2 等抗钓鱼因子。
示例
- Google Authenticator 每 30 秒刷新的 6 位 TOTP 验证码。
- 用于授权银行转账的 SMS 一次性验证码。
相关术语
基于时间的一次性密码 (TOTP)
RFC 6238 定义的一种一次性密码算法,根据共享密钥和当前时间生成短码,每 30 秒刷新一次。
基于 HMAC 的一次性密码 (HOTP)
RFC 4226 定义的基于事件的一次性密码算法,根据共享密钥与一个单调递增的计数器生成短码。
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
双因素认证 (2FA)
多因素认证的具体形式之一,要求恰好两个因素(通常是密码加上第二因素)来验证身份。
身份认证
在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。
Passkey
Passkey — definition coming soon.