Overzicht
Tweefactorauthenticatie (ook bekend als 2FA) is een mechanisme dat twee verschillende authenticatiemethoden combineert om gebruikers te authenticeren. In maart 2011 kondigde Google het gebruik van tweefactorauthenticatie online aan, gevolgd door MSN en Yahoo.
Naast het verifiëren van gebruikersnaam en wachtwoord vereist tweefactorauthenticatie ook de combinatie van een ander fysiek apparaat, zoals een RSA-token of een mobiele telefoon.
Tweefactorgecertificeerde producten kunnen grofweg worden onderverdeeld in twee categorieën:
Hardwareapparaten die tokens kunnen genereren
Smartphone-app
OTP
Het wachtwoord dat wordt gebruikt bij tweestapsverificatie is een eenmalig wachtwoord (OTP), ook wel een dynamisch wachtwoord genoemd. Het is een sterke authenticatietechnologie die cryptografietechnologie gebruikt om sleutels te delen tussen clients en servers, en is een zeer handig technisch middel om de huidige statische wachtwoordauthenticatie te verbeteren, en is een belangrijke tweestapsverificatietechnologie.
OTP staat voor One-Time Password, wat eenmalig wachtwoord betekent. Het is onderverdeeld in de volgende twee typen:
HOTP (HMAC-gebaseerd eenmalig wachtwoordalgoritme)
HOTP is een eenmalig wachtwoord dat wordt gegenereerd op basis van het HMAC-algoritme, ook bekend als dynamisch wachtwoord voor gebeurtenissynchronisatie, een algoritmespecificatie gepubliceerd door ITEF, en de pseudocode is als volgt:
De client en server onderhandelen vooraf over een sleutel K voor het genereren van een eenmalig wachtwoord. De client en server hebben elk een gebeurtenisteller C en synchroniseren de tellingswaarden van tevoren. Truncate is een algoritme dat een 20-byte string die door HMAC-SHA-1 is gegenereerd, omzet in meerdere decimale cijfers.
TOTP (Tijdgebaseerd Eenmalig Wachtwoordalgoritme)
TOTP is een verbeterde versie van HOTP die tijd gebruikt om de gebeurtenisteller C van HOTP te vervangen, ook wel bekend als de dynamische cipher voor tijdsynchronisatie. Pseudocode:
T0 is de initiële testtijd, die standaard 0 is
X is de tijdstap, die standaard 30 seconden is
De officiële documentatie geeft een kastanje, ervan uitgaande dat de huidige unix-tijd = 59, T0 = 0, X = 30, dan T=1
Uitgaande van de huidige unix-tijd=60, T0=0, X=30, dan T=2
Dat wil zeggen, de waarde van T wordt naar beneden afgerond en het decimaal wordt weggegooid
Uit de bovenstaande figuur zien we dat er twee hoofdelementen zijn van het invoeralgoritme: één is de gedeelde sleutel (ook wel de seed genoemd), en de andere is de telfactor (of tijdsfactor), die wordt berekend door een specifiek algoritme. Als beide elementen consistent zijn, berekenen server- en client-side hetzelfde resultaat, waardoor authenticatiefunctionaliteit mogelijk wordt.
|
Geplaatst op 25-07-2020 16:41:17
|
|
|
|
