福彩快三

計算機科學

首頁 > 計算機科學

Google身份驗證器

2018-09-11 09:02:17     所屬分類:計算機訪問控制
Google身份驗證器
開發者 Google
初始版本 2010年9月20日,​7年前​(2010-09-20[1]
操作系統 Android, iOS, BlackBerry OS
系統平臺 移動設備
許可協議 私有許可協議(早期版本為Apache License[永久失效鏈接] 2.0
網站 github.com/google/google-authenticator-libpam
源代碼庫 github.com/google/google-authenticator

Google身份驗證器是一款基于時間與哈希的一次性密碼算法的兩步驗證軟件令牌,此軟件用于Google的認證服務。此項服務所使用的算法已列于 RFC 6238 和 RFC 4226 中。[2]

Google身份驗證器給予用戶一個六位到八位的一次性密碼用于進行登錄Google或其他站點時的附加驗證。其同樣可以給第三方應用生成口令,例如密碼管家程序或網絡硬盤。先前版本的Google身份驗證器開放源代碼,但之后的版本以專有軟件的形式公開。[3]

目錄

  • 1 典型使用情況
  • 2 實現
  • 3 技術說明
    • 3.1 生成一次性密碼的偽代碼
    • 3.2 生成事件性或計數性的一次性密碼偽代碼
  • 4 Android上的開源情況
  • 5 參考文獻
  • 6 外部鏈接

典型使用情況

福彩快三通常,用戶安裝身份驗證程序在智能手機上。為了登錄到使用兩步驗證的網站或服務上,用戶提供用戶名和密碼后運行身份驗證器進行額外驗證。 該應用程序會生成六位數的一次性密碼,而不同網站可能會生成同一密碼。

福彩快三為了使身份驗證器正常工作,安裝運行之前網站必須向用戶提供一組共享密鑰。這組密鑰將會用于未來的所有登陸請求。

福彩快三在兩步驗證的保護之下,僅僅擁有用戶名密碼已不足以黑入賬戶。攻擊者需要這組共享密鑰或者拿到進行兩步驗證的移動設備。另一種方法是進行中間人攻擊;若用戶的電腦被木馬侵入,則用戶名、密碼及一次性密碼都將被木馬所捕獲,隨后攻擊者即可利用木馬進行登錄、監聽或修改用戶與網站的通信。

實現

谷歌提供安卓、[4]黑莓和iOS[5]版本的身份驗證器。同時也存在有第三方版本。

  • Windows Phone 7.5/8/8.1/10: Microsoft Authenticator[6] Virtual TokenFactor[7]
  • Windows Mobile: Google Authenticator for Windows Mobile[8]
  • Java CLI: Authenticator.jar[9]
  • Java GUI: JAuth[10] FXAuth[11]
  • J2ME: gauthj2me[12] lwuitgauthj2me[13] Mobile-OTP (僅支持中文)[14] totp-me[15]
  • Palm OS: gauthj2me[16]
  • Python: onetimepass[17], pyotp[18]
  • PHP: GoogleAuthenticator.php[19]
  • Ruby: rotp,[20] twofu[21]
  • Rails: active_model_otp[22] (第三方實現)
  • webOS: GAuth[23]
  • Windows: gauth4win[24] MOS Authenticator[25] WinAuth[26]
  • .NET: TwoStepsAuthenticator[27]
  • HTML5: html5-google-authenticator[28]
  • MeeGo/Harmattan (Nokia N9): GAuth[29]
  • Sailfish OS: SGAuth,[30] SailOTP[31]
  • Apache: Google Authenticator Apache Module[32]
  • PAM: Google Pluggable Authentication Module[33] oauth-pam[34]
  • Backend: LinOTP (后端管理使用Python實現)
  • Chrome/Chrome OS: Authenticator[35]
  • iOS: OTP Auth[36]
  • privacyIDEA 認證系統。

技術說明

服務提供商為每個用戶生成80位的密鑰(然而RFC 4226 §4要求使用128位并建議使用160位密鑰)。[37] 它以16位、26位或者32位base32的字符串亦或是二維碼的方式提供出來。客戶端使用此密鑰生成HMAC-SHA1。經過HMAC處理過的信息可能為:

  • 自UNIX時間(TOTP)起始之后所經過的30秒周期數
  • 隨著每個新密碼所增加的計數(HOTP)

一段哈希值被提取出來并轉換為6位數密碼。

生成一次性密碼的偽代碼

  function GoogleAuthenticatorCode(string secret)
      key := base32decode(secret)
      message := floor(current Unix time / 30)
      hash := HMAC-SHA1(key, message)
      offset := last nibble of hash
      truncatedHash := hashoffset..offset+3  //4 bytes starting at the offset
      Set the first bit of truncatedHash to zero  //remove the most significant bit
      code := truncatedHash mod 1000000
      pad code with 0 until length of code is 6
      return code

生成事件性或計數性的一次性密碼偽代碼

  function GoogleAuthenticatorCode(string secret)
      key := base32decode(secret)
      message := counter encoded on 8 bytes
      hash := HMAC-SHA1(key, message)
      offset := last nibble of hash
      truncatedHash := hashoffset..offset+3  //4 bytes starting at the offset
      Set the first bit of truncatedHash to zero  //remove the most significant bit
      code := truncatedHash mod 1000000
      pad code with 0 until length of code is 6
      return code

Android上的開源情況

Google身份驗證器在Google Play商店上目前(2017年9月16日)以私有版權協議發布。Google在GitHub上開放了其身份驗證器源代碼,并陳述如下:

“此開源計劃包含了2.21版本的源代碼。隨后的版本中包含了Google特有的工作流程,與此項目無關。”

Android版本的獨立分支之一為FreeOTP[38],其基于Google在GitHub上所開源的最新版本。另外一個并非很火的分支OTP Authenticator[39]也在Google Play上可供下載。

參考文獻

  1. ^ Google Is Making Your Account Vastly More Secure With Two-Step Authentication - TechCrunch. TechCrunch. 2010-09-20 [2016-03-12]. 
  2. ^ GitHub - google/google-authenticator: Open source version of Google Authenticator (except the Android app). GitHub. Google (英語). These implementations support the HMAC-Based One-time Password (HOTP) algorithm specified in RFC 4226 and the Time-based One-time Password (TOTP) algorithm specified in RFC 6238. 
  3. ^ Willis, Nathan (22 January 2014)."FreeOTP multi-factor authentication". LWN.net. Retrieved 10 August 2015.
  4. ^ http://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 A
  5. ^ Google Authenticator. App Store. 
  6. ^ Authenticator. 4 April 2013. 
  7. ^ Virtual TokenFactor. 26 February 2012. 
  8. ^ [APP]Google Authenticator for Windows Mobile. XDA Developers. 
  9. ^ http://blog dot jamesdotcuff dot net. 
  10. ^ mclamp/JAuth. GitHub. 
  11. ^ kamenitxan/FXAuth. GitHub. 
  12. ^ gauthj2me - Google Authentification in Java Mobile, j2me - Google Project Hosting. 
  13. ^ lwuitgauthj2me - Google Authenticator for J2ME phones - Google Project Hosting. 
  14. ^ chunlinyao / mobile-otp — Bitbucket. 
  15. ^ totp-me - TOTP for Java ME - Google authenticator. 
  16. ^ gauth.prc - gauthj2me - Google Authenticator for Palm OS (converted from java) - Google Authentification in Java Mobile, j2me - Google Project Hosting. 
  17. ^ tadeck/onetimepass. GitHub. 
  18. ^ pyotp/pyotp. GitHub. 
  19. ^ chregu/GoogleAuthenticator.php. GitHub. 
  20. ^ rotp - RubyGems.org - your community gem host. 
  21. ^ ukazap/twofu. GitHub. 
  22. ^ heapsource/active_model_otp. GitHub. 
  23. ^ GAuth. 
  24. ^ gauth4win - Google Authenticator for windows - Google Project Hosting. 
  25. ^ MOS Authenticator Home. 
  26. ^ winauth - Windows Authenticator for Battle.net / World of Warcraft / Guild Wars 2 / Glyph / WildStar / Google / Bitcoin - Google Project Hosting. 
  27. ^ glacasa/TwoStepsAuthenticator. GitHub. 
  28. ^ gbraad/html5-google-authenticator. GitHub. 
  29. ^ Techtransit. Nokia Store: Download GAuth and many other games, wallpaper, ringtones and mobile apps on your Nokia phone. 
  30. ^ SGAuth. 
  31. ^ SailOTP. 
  32. ^ google-authenticator-apache-module - Apache Module for Two-Factor Authentication via Google Authenticator - Google Project Hosting. 
  33. ^ google-authenticator - Two-step verification - Google Project Hosting. 
  34. ^ oauth-pam - PAM for use with OAuth Websites - Google Project Hosting. 
  35. ^ Authenticator. 
  36. ^ OTP Auth. App Store. 
  37. ^ http://tools.ietf.org/html/c#section-4[永久失效鏈接]
  38. ^ FreeOTP. 
  39. ^ kaie/otp-authenticator-android. GitHub. 

外部鏈接

  • Google幫助上的Google身份驗證器
  • GitHub上的Google 身份驗證器舊版本源代碼
  •  在Stack Overflow上使用Python實現的Google身份驗證器 o
  • F-Droid資源庫上的Android軟件包Authenticator 版軟件包Authenticator

感謝您的支持,我會繼續努力的!

掃碼支持
1分,2分不嫌少,錢不錢的無所謂,重要的是你的話語激勵我前行!

福彩快三愿你每天溫暖如春!!!

顯示全文

取消

福彩快三感謝您的支持,我會繼續努力的!

掃碼支持
無需打賞可直接關閉閱讀全文
1分,2分不嫌少,錢不錢的無所謂,重要的是你的話語激勵我前行!

愿你每天溫暖如春!!!


上一篇:TACACS+
下一篇:SAML 2.0
相關推薦