Google身份驗證器
開發者 | |
---|---|
首次發佈 | 2010年9月20日[1] |
原始碼庫 | github |
程式語言 |
|
作業系統 | Android, iOS, BlackBerry OS |
平台 | 流動裝置 |
許可協定 | 私有許可協定(早期版本為Apache License 2.0) |
Google身份驗證器是一款TOTP與HOTP的兩步驗證軟件權杖,此軟件用於Google的認證服務。此項服務所使用的演算法已列於 RFC 6238 和 RFC 4226 中。[2]
Google身份驗證器給予用戶一個六位到八位的一次性密碼用於進行登入Google或其他站點時的附加驗證。其同樣可以給第三方應用生成口令,例如密碼管理員或網絡硬碟。先前版本的Google身份驗證器開放原始碼,但之後的版本以專有軟件的形式公開。[3]
典型使用情況
[編輯]用戶通常將身份驗證程式安裝在智能電話上,為了登入到使用兩步驗證的網站或服務上,用戶提供用戶名和密碼後執行身份驗證器進行額外驗證。 該應用程式會生成六位數的一次性密碼,不同網站則可能會生成同一密碼。
為了使身份驗證器正常工作,安裝執行之前網站必須向用戶提供一組共用金鑰。這組金鑰將會用於未來的所有登入請求。
在兩步驗證的保護之下,僅擁有用戶名密碼已不足以黑入帳戶。攻擊者需要這組共用金鑰或者拿到進行兩步驗證的流動裝置。另一種方法是進行中間人攻擊;若用戶的電腦被木馬侵入,則用戶名、密碼及一次性密碼都將被木馬所擷取,隨後攻擊者即可利用木馬進行登入、監聽或修改用戶與網站的通訊。
實現
[編輯]谷歌提供安卓、[4]黑莓和iOS[5]版本的身份驗證器。同時也有第三方版本。
- Windows Phone 7.5/8/8.1/10: Microsoft Authenticator[6] Virtual TokenFactor[7]
- Windows Mobile: Google Authenticator for Windows Mobile[8]
- Java CLI: Authenticator.jar[9]
- Java GUI: JAuth[10] FXAuth[11]
- J2ME: gauthj2me[12] lwuitgauthj2me[13] Mobile-OTP (僅支援中文)[14] totp-me[15]
- Palm OS: gauthj2me[16]
- Python: onetimepass[17], pyotp[18]
- PHP: GoogleAuthenticator.php[19]
- Ruby: rotp,[20] twofu[21]
- Rails: active_model_otp[22] (第三方實現)
- webOS: GAuth[23]
- Windows: gauth4win[24] MOS Authenticator[25] WinAuth[26]
- .NET: TwoStepsAuthenticator[27]
- HTML5: html5-google-authenticator[28]
- MeeGo/Harmattan (Nokia N9): GAuth[29]
- Sailfish OS: SGAuth,[30] SailOTP[31]
- Apache: Google Authenticator Apache Module[32]
- PAM: Google Pluggable Authentication Module[33] oauth-pam[34]
- Backend: LinOTP (後端管理使用Python實現)
- Chrome/Chrome OS: Authenticator[35]
- iOS: OTP Auth[36]
- privacyIDEA 認證系統。
技術說明
[編輯]服務提供商為每個用戶生成80位元的金鑰(然而RFC 4226 §4要求使用128位元並建議使用160位元金鑰)。[37] 它以16位元、26位或者32位元base32的字串亦或是二維條碼的方式提供。用戶端使用此金鑰生成HMAC-SHA1。經過HMAC處理過的資訊可能為:
一段雜湊值被提取出來並轉換為6位數密碼。
生成一次性密碼的偽代碼
[編輯] function GoogleAuthenticatorCode(string secret)
key := base32decode(secret)
message := floor(current Unix time / 30)
hash := HMAC-SHA1(key, message)
offset := last nibble of hash
truncatedHash := hash[offset..offset+3] //4 bytes starting at the offset
Set the first bit of truncatedHash to zero //remove the most significant bit
code := truncatedHash mod 1000000
pad code with 0 until length of code is 6
return code
生成事件性或計數性的一次性密碼偽代碼
[編輯] function GoogleAuthenticatorCode(string secret)
key := base32decode(secret)
message := counter encoded on 8 bytes
hash := HMAC-SHA1(key, message)
offset := last nibble of hash
truncatedHash := hash[offset..offset+3] //4 bytes starting at the offset
Set the first bit of truncatedHash to zero //remove the most significant bit
code := truncatedHash mod 1000000
pad code with 0 until length of code is 6
return code
Android上的開源情況
[編輯]Google身份驗證器在Google Play商店上以私有著作權協定發佈。Google在GitHub上開放了其身份驗證器原始碼,並陳述如下:
「此開源計劃包含了2.21版本的原始碼。隨後的版本中包含了Google特有的工作流程,與此專案無關。」
最後一個開源的版本在2020年發佈。[38]
Android版本的獨立分支之一為FreeOTP[39],其基於Google在GitHub上所開源的最新版本。另外一個較不活躍的分支OTP Authenticator[40]也在Google Play上可供下載。
參見
[編輯]參考文獻
[編輯]- ^ Google Is Making Your Account Vastly More Secure With Two-Step Authentication - TechCrunch. TechCrunch. 2010-09-20 [2016-03-12]. (原始內容存檔於2020-12-02).
- ^ GitHub - google/google-authenticator: Open source version of Google Authenticator (except the Android app). GitHub. Google. [2017-10-15]. (原始內容存檔於2021-01-26) (英語).
These implementations support the HMAC-Based One-time Password (HOTP) algorithm specified in RFC 4226 and the Time-based One-time Password (TOTP) algorithm specified in RFC 6238.
- ^ Willis, Nathan (22 January 2014)."FreeOTP multi-factor authentication (頁面存檔備份,存於互聯網檔案館)". LWN.net. Retrieved 10 August 2015.
- ^ https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 (頁面存檔備份,存於互聯網檔案館) A
- ^ Google Authenticator. App Store. [2017-10-15]. (原始內容存檔於2015-12-22).
- ^ Authenticator. 4 April 2013 [2017-10-15]. (原始內容存檔於2019-10-17).
- ^ Virtual TokenFactor. 26 February 2012 [2017-10-15]. (原始內容存檔於2013-09-08).
- ^ [APP]Google Authenticator for Windows Mobile. XDA Developers. [2017-10-15]. (原始內容存檔於2019-04-19).
- ^ http://blog dot jamesdotcuff dot net. [2017-10-15]. (原始內容存檔於2014-08-01).
- ^ mclamp/JAuth. GitHub. [2017-10-15]. (原始內容存檔於2015-08-04).
- ^ kamenitxan/FXAuth. GitHub. [2017-10-15]. (原始內容存檔於2020-09-05).
- ^ gauthj2me - Google Authentification in Java Mobile, j2me - Google Project Hosting. [2017-10-15]. (原始內容存檔於2016-01-06).
- ^ lwuitgauthj2me - Google Authenticator for J2ME phones - Google Project Hosting. [2017-10-15]. (原始內容存檔於2016-03-16).
- ^ chunlinyao / mobile-otp — Bitbucket. [2017-10-15]. (原始內容存檔於2017-10-15).
- ^ totp-me - TOTP for Java ME - Google authenticator. [2017-10-15]. (原始內容存檔於2018-01-05).
- ^ gauth.prc - gauthj2me - Google Authenticator for Palm OS (converted from java) - Google Authentification in Java Mobile, j2me - Google Project Hosting. [2017-10-15]. (原始內容存檔於2016-01-06).
- ^ tadeck/onetimepass. GitHub. [2017-10-15]. (原始內容存檔於2020-10-27).
- ^ pyotp/pyotp. GitHub. [2017-10-15]. (原始內容存檔於2018-06-11).
- ^ chregu/GoogleAuthenticator.php. GitHub. [2017-10-15]. (原始內容存檔於2020-09-29).
- ^ rotp - RubyGems.org - your community gem host. [2017-10-15]. (原始內容存檔於2019-07-11).
- ^ ukazap/twofu. GitHub. [2017-10-15]. (原始內容存檔於2020-09-12).
- ^ heapsource/active_model_otp. GitHub. [2017-10-15]. (原始內容存檔於2020-12-05).
- ^ GAuth. [2017-10-15]. (原始內容存檔於2020-10-20).
- ^ gauth4win - Google Authenticator for windows - Google Project Hosting. [2017-10-15]. (原始內容存檔於2016-01-11).
- ^ MOS Authenticator Home. [2017-10-15]. (原始內容存檔於2020-02-17).
- ^ winauth - Windows Authenticator for Battle.net / World of Warcraft / Guild Wars 2 / Glyph / WildStar / Google / Bitcoin - Google Project Hosting. [2017-10-15]. (原始內容存檔於2015-05-17).
- ^ glacasa/TwoStepsAuthenticator. GitHub. [2017-10-15]. (原始內容存檔於2020-12-05).
- ^ gbraad/html5-google-authenticator. GitHub. [2017-10-15]. (原始內容存檔於2014-07-05).
- ^ Techtransit. Nokia Store: Download GAuth and many other games, wallpaper, ringtones and mobile apps on your Nokia phone. [2017-10-15]. (原始內容存檔於2014-07-12).
- ^ SGAuth. [2017-10-15]. (原始內容存檔於2019-07-11).
- ^ SailOTP. [2017-10-15]. (原始內容存檔於2021-01-10).
- ^ google-authenticator-apache-module - Apache Module for Two-Factor Authentication via Google Authenticator - Google Project Hosting. [2017-10-15]. (原始內容存檔於2015-11-19).
- ^ google-authenticator - Two-step verification - Google Project Hosting. [2017-10-15]. (原始內容存檔於2015-02-10).
- ^ oauth-pam - PAM for use with OAuth Websites - Google Project Hosting. [2017-10-15]. (原始內容存檔於2016-08-08).
- ^ Authenticator. [2017-10-15]. (原始內容存檔於2019-10-17).
- ^ OTP Auth. App Store. [2017-10-15]. (原始內容存檔於2019-04-12).
- ^ https://tools.ietf.org/html/c#section-4[永久失效連結]
- ^ google/google-authenticator-android: Open source fork of the Google Authenticator Android app. GitHub. 16 May 2022.
- ^ FreeOTP. [2017-10-15]. (原始內容存檔於2020-11-12).
- ^ kaie/otp-authenticator-android. GitHub. [2017-10-15]. (原始內容存檔於2020-11-22).
外部連結
[編輯]- Google幫助上的Google身份驗證器 (頁面存檔備份,存於互聯網檔案館)
- GitHub上的Google 身份驗證器 (頁面存檔備份,存於互聯網檔案館)舊版本原始碼
- 在Stack Overflow上使用Python實現的Google身份驗證器 (頁面存檔備份,存於互聯網檔案館)
- F-Droid資源庫上的Android軟件套件Authenticator