一次性密码 (OTP)

Q: 一次性密码 (OTP) 是什么?

只在一次登录尝试或短暂时间窗口内有效的短位数字码,通常用作第二认证因素。 它属于网络安全的 身份与访问 分类。

Q: 如何防御 一次性密码 (OTP)?

针对 一次性密码 (OTP) 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

一次性密码 (OTP) 是什么?

一次性密码 (OTP)只在一次登录尝试或短暂时间窗口内有效的短位数字码,通常用作第二认证因素。

一次性密码 (OTP) 是一种只能使用一次的凭据,因此即便被截获,过期后也无法被攻击者重用。OTP 通过认证器(手机应用、硬件令牌)与服务器共享的算法生成:HOTP 基于事件计数器、TOTP 基于当前时间、挑战-响应型 OTP 则使用服务器下发的 challenge。常见的下发渠道包括认证器 APP、硬件令牌、短信和邮件。相较静态密码,OTP 显著增强了认证强度,但仍可能被基于反向代理的实时钓鱼绕过;对于高价值账户应优先使用 FIDO2 等抗钓鱼因子。

● 示例

01
Google Authenticator 每 30 秒刷新的 6 位 TOTP 验证码。
02
用于授权银行转账的 SMS 一次性验证码。

● 常见问题

一次性密码 (OTP) 是什么?

只在一次登录尝试或短暂时间窗口内有效的短位数字码,通常用作第二认证因素。它属于网络安全的身份与访问分类。

一次性密码 (OTP) 是什么意思?

只在一次登录尝试或短暂时间窗口内有效的短位数字码,通常用作第二认证因素。

如何防御一次性密码 (OTP)?

针对一次性密码 (OTP) 的防御通常结合技术控制与运营实践,详见上方完整定义。

一次性密码 (OTP) 还有哪些其他名称?

常见的别称包括: OTP, 一次性口令。

● 相关术语

● 另见

SIM 卡置换 (SIM Swapping)