Python TOTP、HOTP測試

 一開始接觸OTP是因為註冊一個雲端平台的測試帳號後，開啟兩階段認證的選項，進而產生興趣。

我們的VPN也有啟用兩階段的認證，當然它是商用版。網路上有一套FreeOTP的開源程式，有支援Android與IOS

OTP（one-time password）稱為一次性密碼，又稱動態密碼或單次有效密碼，在一段有效期只能使用一次的密碼。

原本以為需要架設網路服務來產生密碼與認證，但是看了一下FreeOTP官網卻看不到有任何Server端的安裝文件。

原來OTP是不需要網路服務的，OTP用一組金鑰並搭配變數，例如時間，利用演算法讓伺服器端及用戶端可以產生一

樣的密碼，且這組密碼會隨時間變動失效。

目前常見的OTP密碼傳送方式有簡訊與手機APP，簡訊是由服務端（伺服器）產生密碼後，寄送到使用者的手機上，

而APP則是在用戶端（手機）自行產生密碼，再將密碼鍵入伺服器端來認證，這種方式完全不需要網路服務的。

我測試了兩種不同的技術：HOTP與TOTP，程式語言是python，不過網頁也有相關的模組，原理都是一樣的。

Event Base - OATH HOTP：

HOTP 是HMAC-based One-Time Password的簡寫，雜湊函數加密的一次性密碼。

變動因子Counter 值（OTP 的產生次數）每個密碼僅在一次驗證中有效。

公式：OTPc = HOTP（Key,Counter） = Truncate（HMAC-SHA1（Key,Counter））

Time Base - OATH TOTP：

TOTP 是Time-based One-Time Password的簡寫，表示基於時間戳算法的一次性密碼。

由於量以時間為變數因子，所以用戶端和伺服器時間必須保持一樣，否則會產生不一致的密碼。

公式：OTPt = HOTP（Key,Time） = Truncate（HMAC− SHA1（Key,Time））

以下是我實測的過程與自己的一點小小心得，記錄下來。

首先安裝模組，我用的是pyotp

pip install pyotp

金鑰是Base32格式，所以有下列兩種方式可以產生。

1、pyotp.random_base32() => 直接產生一組隨機的金鑰

2、(base64.b32encode(bytearray("abcd", 'ascii')).decode('utf-8') => 指定字串轉換成Base32

python測試HOTP，金鑰是abcdefg：

>>> import pyotp

>>> hotp = pyotp.HOTP('abcdefg') 

>>> hotp.at(2) #產生密碼

'922982'

>>> hotp.verify('922982',2) #驗證密碼

True

>>> hotp.verify('922982',1)

False

>>> hotp.at(3)

'480228'

>>> hotp.verify('922982',2)

True

>>> hotp.verify('480228',3)

True

python測試TOTP，金鑰是abcdefg，目前預設有效期是30秒：

>>> import pyotp

>>> import time

>>> totp = pyotp.TOTP('abcdefg')

>>> totp.now() #利用時間來產生密碼

'153947'

>>> totp.verify('153947') #驗證密碼 

True

>>> time.sleep(30) #等待30秒

>>> totp.verify('153947') #驗證密碼

False

>>> totp.now() #重新產生密碼

'288940'

>>> totp.verify('288940') 

True

測試APP TOTP，金鑰是abcdefg，目前預設有效期是30秒，使用FreeOTP App或Google Authenticator：

pyotp.totp.TOTP('abcdefg').provisioning_uri(name='Test@test.com', issuer_name='TEST App')

>>> 'otpauth://totp/Secure%20App:alice%40google.com?secret=JBSWY3DPEHPK3PXP&issuer=Secure%20App'

將上一步驟的otpauth的字串複製下來，到免費的產生QRCode網站產出QRCode

在手機上開啟FreeOTP App或Google Authenticator，掃描QRCode來註冊，APP每隔一段時間就會產生一組新密碼

驗證密碼的程式下：

>>> import pyotp

>>> atotp = pyotp.TOTP('abcdefg') #金鑰需要一樣的。

>>> atotp.verify('598189') #將手機APP上的密碼鍵入驗證

True

>>> atotp.now() #也可以自行產生一組密碼

所以建立兩階段的程式設計流程應該是這樣：

1、建立一個記錄帳號密碼及key的資料庫

2、依據key來產生一組otpauth註冊碼

3、FreeOPT或Google Authenticator登錄註冊碼

4、使用者開啟程式並輸入帳號及密碼，先檢查帳號密碼無誤，此為第一階認證

5、再到資料庫抓出key值，以及FreeOPT或Google Authenticator產生的密碼放入檢查程式來確認

6、如檢查結果為true，則通過第二階認證，程式就可以回傳認證成功

7、只要把帳號的key值刪掉或改掉，則第二階認證就會失敗，所以控制權在內部人員手上，使用者不必做任何動作。

如果要以簡訊或Mail來傳送TOTP的密碼，則更改上述第5步驟即可