Remove ads

Google身份驗證器是一款TOTPHOTP兩步驗證軟件權杖英語Authenticator,此軟件用於Google的認證服務。此項服務所使用的演算法已列於 RFC 6238RFC 4226 中。[2]

快速預覽 開發者, 首次發佈 ...
Google身份驗證器
Thumb
開發者Google
首次發佈2010年9月20日,​14年前​(2010-09-20[1]
原始碼庫github.com/google/google-authenticator
程式語言
作業系統Android, iOS, BlackBerry OS
平台流動裝置
許可協定私有許可協定(早期版本為Apache License 2.0
關閉

Google身份驗證器給予用戶一個六位到八位的一次性密碼用於進行登入Google或其他站點時的附加驗證。其同樣可以給第三方應用生成口令,例如密碼管理員網絡硬碟。先前版本的Google身份驗證器開放原始碼,但之後的版本以專有軟件的形式公開。[3]

典型使用情況

Thumb
舊標誌

用戶通常將身份驗證程式安裝在智能電話上,為了登入到使用兩步驗證的網站或服務上,用戶提供用戶名和密碼後執行身份驗證器進行額外驗證。 該應用程式會生成六位數的一次性密碼,不同網站則可能會生成同一密碼。

為了使身份驗證器正常工作,安裝執行之前網站必須向用戶提供一組共用金鑰。這組金鑰將會用於未來的所有登入請求。

在兩步驗證的保護之下,僅擁有用戶名密碼已不足以黑入帳戶。攻擊者需要這組共用金鑰或者拿到進行兩步驗證的流動裝置。另一種方法是進行中間人攻擊;若用戶的電腦被木馬侵入,則用戶名、密碼及一次性密碼都將被木馬所擷取,隨後攻擊者即可利用木馬進行登入、監聽或修改用戶與網站的通訊。

實現

谷歌提供安卓[4]黑莓iOS[5]版本的身份驗證器。同時也有第三方版本。

  • Windows Phone 7.5/8/8.1/10: Microsoft Authenticator[6] Virtual TokenFactor[7]
  • Windows Mobile: Google Authenticator for Windows Mobile[8]
  • Java CLI: Authenticator.jar[9]
  • Java GUI: JAuth[10] FXAuth[11]
  • J2ME: gauthj2me[12] lwuitgauthj2me[13] Mobile-OTP (僅支援中文)[14] totp-me[15]
  • Palm OS: gauthj2me[16]
  • Python: onetimepass[17], pyotp[18]
  • PHP: GoogleAuthenticator.php[19]
  • Ruby: rotp,[20] twofu[21]
  • Rails: active_model_otp[22] (第三方實現)
  • webOS: GAuth[23]
  • Windows: gauth4win[24] MOS Authenticator[25] WinAuth[26]
  • .NET: TwoStepsAuthenticator[27]
  • HTML5: html5-google-authenticator[28]
  • MeeGo/Harmattan (Nokia N9): GAuth[29]
  • Sailfish OS: SGAuth,[30] SailOTP[31]
  • Apache: Google Authenticator Apache Module[32]
  • PAM: Google Pluggable Authentication Module[33] oauth-pam[34]
  • Backend: LinOTP英語LinOTP (後端管理使用Python實現)
  • Chrome/Chrome OS: Authenticator[35]
  • iOS: OTP Auth[36]
  • privacyIDEA 認證系統。
Remove ads

技術說明

服務提供商為每個用戶生成80位元的金鑰(然而RFC 4226 §4要求使用128位元並建議使用160位元金鑰)。[37] 它以16位元、26位或者32位元base32的字串亦或是二維條碼的方式提供。用戶端使用此金鑰生成HMAC-SHA1。經過HMAC處理過的資訊可能為:

  • UNIX時間TOTP)起始之後所經過的30秒周期數
  • 隨着每個新密碼所增加的計數(HOTP

一段雜湊值被提取出來並轉換為6位數密碼。

生成一次性密碼的偽代碼

  function GoogleAuthenticatorCode(string secret)
      key := base32decode(secret)
      message := floor(current Unix time / 30)
      hash := HMAC-SHA1(key, message)
      offset := last nibble of hash
      truncatedHash := hash[offset..offset+3]  //4 bytes starting at the offset
      Set the first bit of truncatedHash to zero  //remove the most significant bit
      code := truncatedHash mod 1000000
      pad code with 0 until length of code is 6
      return code
Remove ads

生成事件性或計數性的一次性密碼偽代碼

  function GoogleAuthenticatorCode(string secret)
      key := base32decode(secret)
      message := counter encoded on 8 bytes
      hash := HMAC-SHA1(key, message)
      offset := last nibble of hash
      truncatedHash := hash[offset..offset+3]  //4 bytes starting at the offset
      Set the first bit of truncatedHash to zero  //remove the most significant bit
      code := truncatedHash mod 1000000
      pad code with 0 until length of code is 6
      return code
Remove ads

Android上的開源情況

Google身份驗證器在Google Play商店上以私有版權協定發佈。Google在GitHub上開放了其身份驗證器原始碼,並陳述如下:

「此開源計劃包含了2.21版本的原始碼。隨後的版本中包含了Google特有的工作流程,與此專案無關。」

最後一個開源的版本在2020年發佈。[38]

Android版本的獨立分支之一為FreeOTP[39],其基於Google在GitHub上所開源的最新版本。另外一個較不活躍的分支OTP Authenticator[40]也在Google Play上可供下載。

參見

參考文獻

外部連結

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.

Remove ads