一文搞懂 OTP 双因素认证

来自：更新日期：早些时候

GitHub 在 2023 年初实施双因素认证（2FA），要求开发者在 2023 年底前启用，以保护账户安全。本文将深入解析什么是 2FA，以及其中的 OTP 一次性密码机制。

1. 双因素认证（2FA）与 OTP

常规登录仅凭用户名和密码，但若密码被泄露，账户易受攻击。2FA 加强了身份验证，通过额外验证手段，如短信验证码、指纹或 OTP。OTP，即一次性密码，是其中一种方式，比如短信中的临时代码，或基于时间的 TOTP（如HOTP的变体）。

OTP 生成基于密钥和计数器或时间因子。HOTP 和 TOTP 都涉及密钥同步和时间一致性问题。TOTP 通过时间窗口解决了计数器同步难题，确保在短暂时间窗口内密码不变，用户有足够时间输入。

3. OTP 计算过程

首先，服务器生成并加密一个密钥，然后用户保存。客户端通过时间因子（如每 30 秒递增一次）和密钥计算 OTP。Python 代码示例显示了这一过程，包括密钥生成、时间因子获取、SHA1 HMAC 计算和 Truncate 以生成 6 位的密码。

用户通常通过 Google Authenticator 等应用生成 OTP，以保护 GitHub 账户。通过扫描二维码或输入密钥，用户在手机应用上获取并输入一次性密码，确保账户安全。

5. 安全提示与服务端实现

建议保存密钥以备不时之需，服务端开发者可以使用库如 pyotp 生成符合标准格式的认证文本。

现在，您应该对双因素认证和 OTP 有深入理解，准备在 GitHub 中开启这项安全措施了。