动态令牌 OTP、TOTP和HOTP 区别

小渣渣

概述

双因子认证（Two-factor authentication，也叫2FA），是一种通过组合两种不同的验证方式进行用户身份验证的机制。Google在2011年3月份，宣布在线上使用双因子认证，MSN和Yahoo紧随其后。

双因子认证，除了需要验证用户名密码外，还要结合另外一种实物设备，如Rsa令牌，或者手机。
双因子认证的产品大致可以分成两类：

可以产生token的硬件设备
智能手机的app

OTP

两步验证中使用的密码是一次性密码（One-Time Password 简称OTP），也称为动态口令。是使用密码技术实现的在客户端和服务器之间通过共享密钥的一种强认证技术，是增强目前静态口令认证的一种非常方便技术手段，是一种重要的两步验证认证技术。

OTP 是 One-Time Password的简写，表示一次性密码。分为以下两种：

HOTP (HMAC-Based One-Time Password Algorithm)

HOTP 是基于 HMAC 算法生成的一次性密码，也称事件同步的动态密码，是 ITEF  公开的算法规范, 伪代码如下：

登录可见。

客户端和服务器事先协商好一个密钥K，用于一次性密码的生成。客户端和服务器各有一个事件计数器C，并且事先将计数值同步。Truncate是将HMAC-SHA-1产生的20字节的字符串转换为若干位十进制数字的算法。

TOTP (Time-Based One-Time Password Algorithm)

TOTP 是 HOTP 的改良版，使用时间替换掉 HOTP 的事件计数器 C，也称时间同步的动态密码。伪代码：

登录可见。

T0 是初试时间，默认为 0  
X 是时间步长，默认30秒
官方文档中举了个栗子，假设当前unix时间=59，T0=0，X=30，则T=1
假设当前unix时间=60，T0=0，X=30，则T=2
也就是对T的值向下取整，抛弃小数的意思



通过上图我们已经看到输入算法的主要有两个元素，一个是共享密钥(也被称作种子)，另外一个是计数(或者时间因子)，经过特定的算法计算出结果。如果这两个元素全都一致，服务器端和客户端会计算出相同的结果，从而实现认证功能。