一次性密码
维基百科,自由的 encyclopedia
一次性密码(英语:one-time password,简称OTP),又称动态密码或单次有效密码,是指电脑系统或其他数码装置上只能使用一次的密码,有效期为只有一次登录会话或交易。OTP 避免了一些与传统基于(静态)密码认证相关系的缺点;一些实现还纳入了双因素认证,确保单次有效密码需要存取一个人有的某件事物(如内建 OTP 电脑的小钥匙挂件装置)以及一个人知道的某件事物(如 PIN)。
此条目需要补充更多来源。 (2020年11月27日) |
相对于静态密码,OTP 最重要的优点是它们不容易受到重放攻击(replay attack)。这意味着管理记录已用于登录到服务或进行交易的 OTP 的潜在入侵者将无法滥用它,因为它将不再有效。第二个主要优点是,使用多个系统相同(或类似)密码的用户,如果其中一个密码被攻击者获得,不是对所有的系统都容易变得脆弱。许多 OTP 系统也旨在确保会话不能轻易被截获或没有前一个会话期间产生不可预测数据的知识模拟,从而进一步减少攻击面。
OTP 已被作为传统密码一个可能的替代以及增强方式讨论。不利的是,OTP 人类难以记忆。因此,它们需要额外的技术来运作。
一般的静态密码在安全性上容易因为木马与键盘侧录程序等而被窃取,而只要花上相当程度的时间,也有可能被暴力破解。为了解决一般密码容易遭到破解情况,因此开发出一次性密码的解决方案。