Überblick
Zwei-Faktor-Authentifizierung (auch bekannt als 2FA) ist ein Mechanismus, der zwei verschiedene Authentifizierungsmethoden kombiniert, um Nutzer zu authentifizieren. Im März 2011 kündigte Google den Einsatz der Zwei-Faktor-Authentifizierung online an, gefolgt von MSN und Yahoo.
Neben der Überprüfung von Benutzernamen und Passwort erfordert die Zwei-Faktor-Authentifizierung auch die Kombination eines weiteren physischen Geräts, wie einem RSA-Token oder einem Mobiltelefon.
Zwei-Faktor-zertifizierte Produkte lassen sich grob in zwei Kategorien unterteilen:
Hardware-Geräte, die Token generieren können
Smartphone-App
OTP
Das bei der zweistufige Verifizierung verwendete Passwort ist ein Einmalpasswort (OTP), auch als dynamisches Passwort bekannt. Es handelt sich um eine leistungsstarke Authentifizierungstechnologie, die kryptografische Technologie nutzt, um Schlüssel zwischen Clients und Servern zu teilen, und ist ein sehr praktisches technisches Mittel zur Verbesserung der aktuellen statischen Passwortauthentifizierung sowie eine wichtige zweistufige Verifikationstechnologie.
OTP steht für One-Time Password (One-Time Password), was Einmalpasswort bedeutet. Sie ist in die folgenden zwei Typen unterteilt:
HOTP (HMAC-basierter Einmalpasswort-Algorithmus)
HOTP ist ein einmaliges Passwort, das auf Basis des HMAC-Algorithmus generiert wird, auch bekannt als dynamisches Passwort für Ereignissynchronisation, eine von ITEF veröffentlichte Algorithmusspezifikation, und der Pseudocode lautet wie folgt:
Client und Server verhandeln im Voraus einen Schlüssel K für die Erstellung eines einmaligen Passworts. Client und Server haben jeweils einen Ereigniszähler C und synchronisieren die Zählwerte vorher. Truncate ist ein Algorithmus, der eine 20-Byte-Zeichenkette, die von HMAC-SHA-1 erzeugt wird, in mehrere Dezimalstellen umwandelt.
TOTP (Zeitbasierter Einmalpasswort-Algorithmus)
TOTP ist eine verbesserte Version von HOTP, die Zeit verwendet, um den Ereigniszähler C von HOTP zu ersetzen, auch bekannt als dynamische Chiffre für Zeitsynchronisation. Pseudocode:
T0 ist die anfängliche Testzeit, die standardmäßig auf 0 steht
X ist der Zeitschritt, der standardmäßig 30 Sekunden beträgt
Die offizielle Dokumentation gibt eine Argumentation an, vorausgesetzt, die aktuelle Unix-Zeit = 59, T0 = 0, X = 30, dann T=1
Unter der Annahme der aktuellen Unix-Zeit=60, T0=0, X=30, dann T=2
Das heißt, der Wert von T wird nach unten abgerundet und die Dezimalzahl verworfen
Aus der obigen Abbildung sehen wir, dass es zwei Hauptelemente des Eingabealgorithmus gibt: eines ist der gemeinsame Schlüssel (auch Seed genannt) und das andere der Zählfaktor (oder Zeitfaktor), der von einem bestimmten Algorithmus berechnet wird. Wenn beide Elemente konsistent sind, berechnen Server- und Clientseite dasselbe Ergebnis und ermöglichen so die Authentifizierungsfunktionalität.
|
Veröffentlicht am 25.07.2020 16:41:17
|
|
|
|
