跳到主要內容

Python TOTP、HOTP測試

 一開始接觸OTP是因為註冊一個雲端平台的測試帳號後,開啟兩階段認證的選項,進而產生興趣。


我們的VPN也有啟用兩階段的認證,當然它是商用版。網路上有一套FreeOTP的開源程式,有支援Android與IOS


OTP(one-time password)稱為一次性密碼,又稱動態密碼或單次有效密碼,在一段有效期只能使用一次的密碼。


原本以為需要架設網路服務來產生密碼與認證,但是看了一下FreeOTP官網卻看不到有任何Server端的安裝文件。


原來OTP是不需要網路服務的,OTP用一組金鑰並搭配變數,例如時間,利用演算法讓伺服器端及用戶端可以產生一

樣的密碼,且這組密碼會隨時間變動失效。


目前常見的OTP密碼傳送方式有簡訊與手機APP,簡訊是由服務端(伺服器)產生密碼後,寄送到使用者的手機上,


而APP則是在用戶端(手機)自行產生密碼,再將密碼鍵入伺服器端來認證,這種方式完全不需要網路服務的。


我測試了兩種不同的技術:HOTP與TOTP,程式語言是python,不過網頁也有相關的模組,原理都是一樣的。


Event Base - OATH HOTP:

HOTP 是HMAC-based One-Time Password的簡寫,雜湊函數加密的一次性密碼。

變動因子Counter 值(OTP 的產生次數)每個密碼僅在一次驗證中有效。

公式:OTPc = HOTP(Key,Counter) = Truncate(HMAC-SHA1(Key,Counter))


Time Base - OATH TOTP:

TOTP 是Time-based One-Time Password的簡寫,表示基於時間戳算法的一次性密碼。

由於量以時間為變數因子,所以用戶端和伺服器時間必須保持一樣,否則會產生不一致的密碼。

公式:OTPt = HOTP(Key,Time) = Truncate(HMAC− SHA1(Key,Time))


以下是我實測的過程與自己的一點小小心得,記錄下來。


首先安裝模組,我用的是pyotp

pip install pyotp


金鑰是Base32格式,所以有下列兩種方式可以產生。

1、pyotp.random_base32() => 直接產生一組隨機的金鑰

2、(base64.b32encode(bytearray("abcd", 'ascii')).decode('utf-8') => 指定字串轉換成Base32


python測試HOTP,金鑰是abcdefg:

>>> import pyotp

>>> hotp = pyotp.HOTP('abcdefg') 

>>> hotp.at(2) #產生密碼

'922982'

>>> hotp.verify('922982',2) #驗證密碼

True

>>> hotp.verify('922982',1)

False

>>> hotp.at(3)

'480228'

>>> hotp.verify('922982',2)

True

>>> hotp.verify('480228',3)

True



python測試TOTP,金鑰是abcdefg,目前預設有效期是30秒:

>>> import pyotp

>>> import time

>>> totp = pyotp.TOTP('abcdefg')

>>> totp.now() #利用時間來產生密碼

'153947'

>>> totp.verify('153947') #驗證密碼 

True

>>> time.sleep(30) #等待30秒

>>> totp.verify('153947') #驗證密碼

False

>>> totp.now() #重新產生密碼

'288940'

>>> totp.verify('288940') 

True



測試APP TOTP,金鑰是abcdefg,目前預設有效期是30秒,使用FreeOTP App或Google Authenticator:

pyotp.totp.TOTP('abcdefg').provisioning_uri(name='Test@test.com', issuer_name='TEST App')

>>> 'otpauth://totp/Secure%20App:alice%40google.com?secret=JBSWY3DPEHPK3PXP&issuer=Secure%20App'

將上一步驟的otpauth的字串複製下來,到免費的產生QRCode網站產出QRCode



在手機上開啟FreeOTP App或Google Authenticator,掃描QRCode來註冊,APP每隔一段時間就會產生一組新密碼

驗證密碼的程式下:

>>> import pyotp

>>> atotp = pyotp.TOTP('abcdefg') #金鑰需要一樣的。

>>> atotp.verify('598189') #將手機APP上的密碼鍵入驗證

True

>>> atotp.now() #也可以自行產生一組密碼



所以建立兩階段的程式設計流程應該是這樣:

1、建立一個記錄帳號密碼及key的資料庫

2、依據key來產生一組otpauth註冊碼

3、FreeOPT或Google Authenticator登錄註冊碼

4、使用者開啟程式並輸入帳號及密碼,先檢查帳號密碼無誤,此為第一階認證

5、再到資料庫抓出key值,以及FreeOPT或Google Authenticator產生的密碼放入檢查程式來確認

6、如檢查結果為true,則通過第二階認證,程式就可以回傳認證成功

7、只要把帳號的key值刪掉或改掉,則第二階認證就會失敗,所以控制權在內部人員手上,使用者不必做任何動作。


如果要以簡訊或Mail來傳送TOTP的密碼,則更改上述第5步驟即可

這個網誌中的熱門文章

Line如何換行

在電腦版的Line輸入文字時,遇到需要換行的情形時,我都是用記事本先寫好再複製上去,這樣就可以有換行的效果,可是這樣的做法好像失去Line的便利性。 於是查了一下,原來有一個設定可以指定Enter換行,而不是發訊息出去。 完成設定之後,要發送訊息就改用Alt+Enter,而Enter就可以換行了。

在Windows下,利用tasklist與taskkill來刪除Process

Windows7 / Windows8 kill process Linux下要刪除某個程序通常會使用 ps 配合 kill 來刪除程序。 例如:ps -ef |grep [PROCESS NAME]       kill -9 [PID] 在Windows下,通常是開啟工作管理員來強制結束應用程式,但是如果要寫成Script,就必須改為命令式。 TASKLIST [/S system [/U username [/P [password]]]]          [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]           TASKKILL [/S system [/U username [/P [password]]]]          { [/FI filter] [/PID processid | /IM imagename] } [/T] [/F]           (Tasklist:查詢Process ; Taskkill:刪除Process)           例如要刪除已開啟的記事本(notepad): 1、查詢記事本的Process訊息     C:\> tasklist |find /i "notepad.exe"     notepad.exe      6092 Console     1     5,832 K 2、由上得知記事本的PID為6092     C:\> taskkill /f /PID 6092     成功:處理程序 PID 6092 已經終止了。     taskkill使用的參數     /f:指定此參數可強制終止處理程序     /PID:指定要終止之處理程序的 PID      3、也可以直接以程式名稱刪除     C:\ taskkill /f /im notepad.exe     成功:處理程序 "notepad.exe" <PID 6092> 已經終止了      下面是我自己測試的Script,可以刪除多個相同的程式,例如同時開啟了三個記事本: @echo off for /f &quo

Win 10 工作排程無法執行bat批次檔

利用Win 10的工作排程器來設定每日自動執行的批次檔,單獨執行批次檔沒問題,但是放在排程上就是無法執行。 後來試了幾種網路上提供的方式,其注意的事項如下: 1、在「安全性選項」選擇「只有使用者登入時才執行」並取消「以最高權限執行」。 2、在「設定」中選擇「Windows 10」 3、批次檔內的執行檔需以完整的路徑執行,或設定PATH路徑。 3、批次檔中如果帶有中文的路徑,則文字編碼類型必需是ANSI碼,       我的批次檔一開始就是UTF-8碼,但是單獨執行沒有問題,排程上就是有問題,       最後在批次檔中加入暫停指令pause才發現的。 4、如果想選擇「不論使用者登入與否均執行」,則在「設定」必須選擇「Windows Server 2003、Windows XP或Windows 2000」,    但是上述的選項只有在新增工作程程時才會出現,原有的工作排程是不會有此選項