Google身分驗證器

Google身分驗證器是一款TOTP與HOTP的兩步驗證軟體權杖（英語：Authenticator），此軟體用於Google的認證服務。此項服務所使用的演算法已列於 RFC 6238 和 RFC 4226 中。^[2]

Google身分驗證器

開發者	Google
首次發布	2010年9月20日，​14年前​（2010-09-20）[1]
原始碼庫	github.com/google/google-authenticator
程式語言	Java (Android, Blackberry) Objective-C (iOS)
作業系統	Android, iOS, BlackBerry OS
平台	行動裝置
許可協定	私有許可協定（早期版本為Apache License 2.0）

Google身分驗證器給予使用者一個六位到八位的一次性密碼用於進行登入Google或其他站點時的附加驗證。其同樣可以給第三方應用生成口令，例如密碼管理員或網路硬碟。先前版本的Google身分驗證器開放原始碼，但之後的版本以專有軟體的形式公開。^[3]

典型使用情況

舊標誌

使用者通常將身分驗證程式安裝在智慧型手機上，為了登入到使用兩步驗證的網站或服務上，使用者提供使用者名稱和密碼後執行身分驗證器進行額外驗證。 該應用程式會生成六位數的一次性密碼，不同網站則可能會生成同一密碼。

為了使身分驗證器正常工作，安裝執行之前網站必須向使用者提供一組共享金鑰。這組金鑰將會用於未來的所有登入請求。

在兩步驗證的保護之下，僅擁有使用者名稱密碼已不足以駭入帳戶。攻擊者需要這組共享金鑰或者拿到進行兩步驗證的行動裝置。另一種方法是進行中間人攻擊；若使用者的電腦被木馬侵入，則使用者名稱、密碼及一次性密碼都將被木馬所擷取，隨後攻擊者即可利用木馬進行登入、監聽或修改使用者與網站的通訊。

實現

谷歌提供安卓、^[4]黑莓和iOS^[5]版本的身分驗證器。同時也有第三方版本。

• Windows Phone 7.5/8/8.1/10: Microsoft Authenticator^[6] Virtual TokenFactor^[7]
• Windows Mobile: Google Authenticator for Windows Mobile^[8]
• Java CLI: Authenticator.jar^[9]
• Java GUI: JAuth^[10] FXAuth^[11]
• J2ME: gauthj2me^[12] lwuitgauthj2me^[13] Mobile-OTP （僅支援中文）^[14] totp-me^[15]
• Palm OS: gauthj2me^[16]
• Python: onetimepass^[17], pyotp^[18]
• PHP: GoogleAuthenticator.php^[19]
• Ruby: rotp,^[20] twofu^[21]
• Rails: active_model_otp^[22] （第三方實現）
• webOS: GAuth^[23]
• Windows: gauth4win^[24] MOS Authenticator^[25] WinAuth^[26]
• .NET: TwoStepsAuthenticator^[27]
• HTML5: html5-google-authenticator^[28]
• MeeGo/Harmattan (Nokia N9): GAuth^[29]
• Sailfish OS: SGAuth,^[30] SailOTP^[31]
• Apache: Google Authenticator Apache Module^[32]
• PAM: Google Pluggable Authentication Module^[33] oauth-pam^[34]
• Backend: LinOTP（英語：LinOTP） （後端管理使用Python實現）
• Chrome/Chrome OS: Authenticator^[35]
• iOS: OTP Auth^[36]

• privacyIDEA 認證系統。

技術說明

服務提供商為每個使用者生成80位元的金鑰（然而RFC 4226 §4要求使用128位元並建議使用160位元金鑰）。^[37] 它以16位元、26位或者32位元base32的字串亦或是二維條碼的方式提供。用戶端使用此金鑰生成HMAC-SHA1。經過HMAC處理過的資訊可能為：

• 自UNIX時間（TOTP）起始之後所經過的30秒周期數
• 隨著每個新密碼所增加的計數（HOTP）

一段雜湊值被提取出來並轉換為6位數密碼。

生成一次性密碼的虛擬碼

  function GoogleAuthenticatorCode(string secret)
      key := base32decode(secret)
      message := floor(current Unix time / 30)
      hash := HMAC-SHA1(key, message)
      offset := last nibble of hash
      truncatedHash := hash[offset..offset+3]  //4 bytes starting at the offset
      Set the first bit of truncatedHash to zero  //remove the most significant bit
      code := truncatedHash mod 1000000
      pad code with 0 until length of code is 6
      return code

生成事件性或計數性的一次性密碼虛擬碼

  function GoogleAuthenticatorCode(string secret)
      key := base32decode(secret)
      message := counter encoded on 8 bytes
      hash := HMAC-SHA1(key, message)
      offset := last nibble of hash
      truncatedHash := hash[offset..offset+3]  //4 bytes starting at the offset
      Set the first bit of truncatedHash to zero  //remove the most significant bit
      code := truncatedHash mod 1000000
      pad code with 0 until length of code is 6
      return code

Android上的開源情況

Google身分驗證器在Google Play商店上以私有著作權協定發布。Google在GitHub上開放了其身分驗證器原始碼，並陳述如下：

「此開源計劃包含了2.21版本的原始碼。隨後的版本中包含了Google特有的工作流程，與此專案無關。」

最後一個開源的版本在2020年發布。^[38]

Android版本的獨立分支之一為FreeOTP^[39]，其基於Google在GitHub上所開源的最新版本。另外一個較不活躍的分支OTP Authenticator^[40]也在Google Play上可供下載。

參見

• 多重要素驗證
• 基於HMAC的一次性密碼演算法
• FreeOTP
• 一次性密碼應用程式的比較（英語：Comparison of OTP applications）

參考文獻

1. Google Is Making Your Account Vastly More Secure With Two-Step Authentication - TechCrunch. TechCrunch. 2010-09-20 [2016-03-12]. （原始內容存檔於2020-12-02）.
2. GitHub - google/google-authenticator: Open source version of Google Authenticator (except the Android app). GitHub. Google. [2017-10-15]. （原始內容存檔於2021-01-26） （英語）. These implementations support the HMAC-Based One-time Password (HOTP) algorithm specified in RFC 4226 and the Time-based One-time Password (TOTP) algorithm specified in RFC 6238.
3. Willis, Nathan (22 January 2014)."FreeOTP multi-factor authentication （頁面存檔備份，存於網際網路檔案館）". LWN.net. Retrieved 10 August 2015.
4. https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2 （頁面存檔備份，存於網際網路檔案館） A
5. Google Authenticator. App Store. [2017-10-15]. （原始內容存檔於2015-12-22）.
6. Authenticator. 4 April 2013 [2017-10-15]. （原始內容存檔於2019-10-17）.
7. Virtual TokenFactor. 26 February 2012 [2017-10-15]. （原始內容存檔於2013-09-08）.
8. [APP]Google Authenticator for Windows Mobile. XDA Developers. [2017-10-15]. （原始內容存檔於2019-04-19）.
9. http://blog dot jamesdotcuff dot net. [2017-10-15]. （原始內容存檔於2014-08-01）.
10. mclamp/JAuth. GitHub. [2017-10-15]. （原始內容存檔於2015-08-04）.
11. kamenitxan/FXAuth. GitHub. [2017-10-15]. （原始內容存檔於2020-09-05）.
12. gauthj2me - Google Authentification in Java Mobile, j2me - Google Project Hosting. [2017-10-15]. （原始內容存檔於2016-01-06）.
13. lwuitgauthj2me - Google Authenticator for J2ME phones - Google Project Hosting. [2017-10-15]. （原始內容存檔於2016-03-16）.
14. chunlinyao / mobile-otp — Bitbucket. [2017-10-15]. （原始內容存檔於2017-10-15）.
15. totp-me - TOTP for Java ME - Google authenticator. [2017-10-15]. （原始內容存檔於2018-01-05）.
16. gauth.prc - gauthj2me - Google Authenticator for Palm OS (converted from java) - Google Authentification in Java Mobile, j2me - Google Project Hosting. [2017-10-15]. （原始內容存檔於2016-01-06）.
17. tadeck/onetimepass. GitHub. [2017-10-15]. （原始內容存檔於2020-10-27）.
18. pyotp/pyotp. GitHub. [2017-10-15]. （原始內容存檔於2018-06-11）.
19. chregu/GoogleAuthenticator.php. GitHub. [2017-10-15]. （原始內容存檔於2020-09-29）.
20. rotp - RubyGems.org - your community gem host. [2017-10-15]. （原始內容存檔於2019-07-11）.
21. ukazap/twofu. GitHub. [2017-10-15]. （原始內容存檔於2020-09-12）.
22. heapsource/active_model_otp. GitHub. [2017-10-15]. （原始內容存檔於2020-12-05）.
23. GAuth. [2017-10-15]. （原始內容存檔於2020-10-20）.
24. gauth4win - Google Authenticator for windows - Google Project Hosting. [2017-10-15]. （原始內容存檔於2016-01-11）.
25. MOS Authenticator Home. [2017-10-15]. （原始內容存檔於2020-02-17）.
26. winauth - Windows Authenticator for Battle.net / World of Warcraft / Guild Wars 2 / Glyph / WildStar / Google / Bitcoin - Google Project Hosting. [2017-10-15]. （原始內容存檔於2015-05-17）.
27. glacasa/TwoStepsAuthenticator. GitHub. [2017-10-15]. （原始內容存檔於2020-12-05）.
28. gbraad/html5-google-authenticator. GitHub. [2017-10-15]. （原始內容存檔於2014-07-05）.
29. Techtransit. Nokia Store: Download GAuth and many other games, wallpaper, ringtones and mobile apps on your Nokia phone. [2017-10-15]. （原始內容存檔於2014-07-12）.
30. SGAuth. [2017-10-15]. （原始內容存檔於2019-07-11）.
31. SailOTP. [2017-10-15]. （原始內容存檔於2021-01-10）.
32. google-authenticator-apache-module - Apache Module for Two-Factor Authentication via Google Authenticator - Google Project Hosting. [2017-10-15]. （原始內容存檔於2015-11-19）.
33. google-authenticator - Two-step verification - Google Project Hosting. [2017-10-15]. （原始內容存檔於2015-02-10）.
34. oauth-pam - PAM for use with OAuth Websites - Google Project Hosting. [2017-10-15]. （原始內容存檔於2016-08-08）.
35. Authenticator. [2017-10-15]. （原始內容存檔於2019-10-17）.
36. OTP Auth. App Store. [2017-10-15]. （原始內容存檔於2019-04-12）.
37. https://tools.ietf.org/html/c#section-4^{[永久失效連結]}
38. google/google-authenticator-android: Open source fork of the Google Authenticator Android app. GitHub. 16 May 2022.
39. FreeOTP. [2017-10-15]. （原始內容存檔於2020-11-12）.
40. kaie/otp-authenticator-android. GitHub. [2017-10-15]. （原始內容存檔於2020-11-22）.

外部連結

• Google幫助上的Google身分驗證器 （頁面存檔備份，存於網際網路檔案館）
• GitHub上的Google 身分驗證器 （頁面存檔備份，存於網際網路檔案館）舊版本原始碼
•  在Stack Overflow上使用Python實現的Google身分驗證器 （頁面存檔備份，存於網際網路檔案館）
• F-Droid資源庫上的Android軟體套件Authenticator