OTP
什么是OTP? OTP全称是one time password,也称动态口令,是根据专门的算法生成一个不可预测的随机数字组合,一个密码使用一次有效,目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。
动态口令是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态口令就无需定期密码,安全省心,这是这项技术的一个额外价值,对企事业内部应用尤其有用。
动态令牌即是用来生成动态口令终端。
OTP 技术类型otp从技术来分有三种形式,时间同步、事件同步、挑战/应答。
(1)时间同步
原理是基于动态令牌和动态口令验证服务器的时间比对,基于时间同步的令牌,一般每60秒产生一个新口令,要求服务器能够十分精确的保持正确的时钟,同时对其令牌的晶振频率有严格的要求,这种技术对应的终端是硬件令牌。
(2)事件同步
基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法中运算出一致的密码。
(3)挑战/应答
常用于的网上业务,在网站/应答上输入服务端下发的挑战码,动态令牌输入该挑战码,通过内置的算法上生成一个6/8位的随机数字,口令一次有效,这种技术目前应用最为普遍,包括刮刮卡、短信密码、动态令牌也有挑战/应答形式。
主流的动态令牌技术是时间同步和挑战/应答两种形式。
OTP生成终端主流的有短信密码、动态令牌从终端来分类包含硬件令牌和手机令牌两种,手机令牌是安装在手机上的客户端软件。
短信密码短信密码以手机短信形式请求包含6位随机数的OTP,身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码,从而确保系统身份认证的安全性。它利用what you have方法。
具有以下优点:
(1)安全性
由于手机与客户绑定比较紧密,短信密码生成与使用场景是物理隔绝的,因此密码在通路上被截取几率降至最低。
(2)普及性
只要会接收短信即可使用,大大降低短信密码技术的使用门槛,学习成本几乎为0,所以在市场接受度上面不会存在阻力。
(3)易收费
由于移动互联网用户天然养成了付费的习惯,这和PC时代互联网截然不同的理念,而且收费通道非常的发达,如果是网银、第三方支付、电子商务可将短信密码作为一项增值业务,每月通过SP收费不会有阻力,因此也可增加收益。
(4)易维护 由于短信网关技术非常成熟,大大降低短信密码系统上马的复杂度和风险,短信密码业务后期客服成本低,稳定的系统在提升安全同时也营造良好的口碑效应,这也是目前银行也大量采纳这项技术很重要的原因。
硬件令牌目前最为安全的身份认证方式,当前最主流的是基于时间同步的硬件令牌,它每60秒产生6位一个OTP口令,OTP口令一次有效。
由于它使用起来非常便捷,85%以上的世界500强企业运用它保护登录安全,广泛应用在VPN、网上银行、电子政务、电子商务等领域。
手机令牌 手机令牌是用来生成动态口令的手机客户端软件,在生成动态口令的过程中,不会产生任何通信,因此口令不会在通信信道中被截取,欠费和无信号对其不产生任何影响,由于其在具有高安全性、0成本、无需携带、获取以及无物流等优势,相比硬件令牌其更符合互联网的精神,由于以上优势,手机令牌可能会成为3G时代动态密码身份认证令牌的主流形式。
手机令牌从技术角度来分有时间同步和挑战/应答两种形式。
手机令牌(时间同步)其功能与硬件令牌相同。
手机令牌(挑战/应答)从下面令牌中可以看出,用户输入挑战码至手机令牌上,用户输完之后,单击 生成动态密码 按钮,即可得到下面的OTP口令。