本人在某大型国企混日子，涉及到工作主要为信息技术方面，俗称码农。前段时间，公司某人邮箱账号密码被盗，大晚上给全集团公司发钓鱼诈骗邮件。某些个员工真就上当了，上当就上当吧，结果还报警了，肯定留下报警记录。哎，年末大领导去国资委述职，少不了要被点名这次不光彩的事了。部门领导很生气，就找上我们这些底层了，要加强信息安全，准备信息安全材料，全公司上上下下学习，其中就涉及到相关二次验证的方面。这里就把Google二次验证的修改一下搬运过来。
    二次验证的原理是一种双重认证机制，旨在提高账户的安全性，防止因密码泄露而导致的未经授权访问。以Google为例，它使用的OTP（One-Time Password）通常基于TOTP（Time-Based One-Time Password）或者HOTP（HMAC-Based One-Time Password）标准。通常采用TOTP。其原理如下：TOTP使用一个共享密钥和当前时间戳生成一个一次性密码。这个验证码通常每30秒或60秒更新一次，确保其短暂有效性，增加了安全性。其核心公式如下(百度吧，这公式实在不好打)
                                         
    其步骤如下：
                                   

    下面是python实现的代码：
     

複製代碼

1. import time
2. import hmac
3. import base64
4. import struct
5. import hashlib
7. def generate_totp(secret, interval=30, digits=6):
8.     # Step 1: 将密钥解码成字节
9.     key = base64.b32decode(secret, True)
11.     # Step 2: 获取当前时间戳并计算时间步长
12.     current_time = int(time.time() / interval)
14.     # Step 3: 将时间步长转换为8字节的二进制数据
15.     msg = struct.pack(">Q", current_time)
17.     # Step 4: 计算HMAC-SHA1
18.     hmac_hash = hmac.new(key, msg, hashlib.sha1).digest()
20.     # Step 5: 动态截断
21.     offset = hmac_hash[-1] & 0x0F  # 获取HMAC的最后一个字节的低4位
22.     binary_code = struct.unpack(">I", hmac_hash[offset:offset + 4])[0] & 0x7FFFFFFF  # 截取31位
24.     # Step 6: 取模，生成6位验证码
25.     otp = binary_code % (10 ** digits)
27.     return str(otp).zfill(digits)
29. # 示例：生成TOTP验证码
30. secret = "JBSWY3DPEHPK3PXP"  # 示例密钥，实际应用中应为每个用户生成唯一密钥
31. totp_code = generate_totp(secret)
32. print(f"当前的TOTP验证码是: {totp_code}")

複製代碼

    那么，针对1024社区而言，当你点击开启二次验证是，服务器会给你一个16位的随机密钥，一定要牢记。一定要牢记。一定要牢记。这个时候服务器端会给将这个密钥记录下来，然后你打开二次验证APP，将这个密钥输进去，然后密钥结合当前时间戳基于TOTP生成一个6位数的一次性密码，当你将这个一次性密码上传给服务器时，服务器也会通过相同的TOTP算法计算得到一个一次性6位密码，两者匹配成功，即获得验证。另外一点，无需担心你的二次验证APP故障，因为基于TOTP算法国际统一，只要任意一个基于TOTP算法得到结果都是一样的，包括我上面提供的代码，计算获得的一次性密码全都一样。因此，只要记牢你的那个16位随机密钥就行。


          这里原理其实很简单，主要让不了解的人了解。毕竟人们对熟悉的事物有一种天然的信任和倾向，在很多情况下，用户更愿意接受自己理解的东西。最后，一定要熟记自己的随机密钥，一定要熟记自己的随机密钥，一定要熟记自己的随机密钥。

刚刚二次验证通过了，确实比之前安全了 

好的,我学会了.

楼主可否科普一点，用户的随机密钥如何保存在网站能确保安全不会被窃取？如果网站数据库被攻破，密钥也泄露，那么二次验证也就没有意义了。

科普贴，支持了

感谢分享

windows的pin码也可以作为二次验证的吧，物理二次验证更安全。

1024

感谢分享，看不懂选手路过～

最简单直接的方法，就是身边有个懂电脑的朋友

服务器会给你一个16位的随机密钥——这个也泄露了怎么办？

感谢分享

没有绝对安全  只有相对安全而已

感谢分享！

慌得我赶紧去找我自己的随机密钥去了

感谢分享

感谢科普

感谢分享

感谢科普

1024

感谢分享

回复楼上的，怎么变到这里了


[ 此貼被梁家河学霸在2024-09-27 15:30重新編輯 ]

老实说，看起来安全，只有一个密码，人脑能记住（每个人的密码都有其个人规律），唯一担心就是木马键盘记录。而二次验证码，密钥人脑无法记忆，只能保存在本机，或备份在不同地方，这样反而提高了丢失风险。
相当于一个老人家，设计一个复杂的密码，自己记不住，每次输入都要拿出纸条，对着输入。

引用

引用第3樓要用中文名於2024-09-27 10:58發表的 :
楼主可否科普一点，用户的随机密钥如何保存在网站能确保安全不会被窃取？如果网站数据库被攻破，密钥也泄露，那么二次验证也就没有意义了。

额，用户的随机密钥一般通过一个对称密钥加密后存到数据库中，比如你的随机密钥是123456这是你看到的。但保存到数据库的可能就是经过对称加密后的一个长度为32位的随机字符串。一般情况下，这个对称密钥会定时更新。所以即使攻破数据库也没什么用，除非数据库设计者缺乏安全远见，直接明文将密码123456保存到数据库里

我来给个简单版的
import pyotp

def get_variable(secret):
    # 使用提供的密钥
    secret = secret.replace(" ", "")
    # 创建基于TOTP的对象
    totp = pyotp.TOTP(secret)

    return totp.now()