足球投注指南：了解时间限制一次性密码的含义及是否使用

基于时间的一次性密码 (TOTP) 是一种标准的一次性密码计算算法。它是基于哈希消息认证码 (HMAC) 一次性密码 (HMAC-based One-time Password, 或简称 HOTP) 的扩展。

TOTP可以替代传统的长期使用的双因素认证解决方案，如短信或容易被盗或遗忘的物理硬件令牌。那么时间基础的一次性密码究竟是什么？它是如何工作的呢？

什么是TOTP？

TOTP是根据当前时间生成的临时、一次性验证码的算法，用于用户认证。它是您账户的额外安全层，基于双因素认证 (2FA) 或多因素认证 (MFA)。也就是说，在输入用户名和密码后，您需要输入一个特定的、基于时间且短暂的验证码。

TOTP之所以这样命名，是因为它使用标准算法根据格林威治时间 (GMT) 计算出唯一的数字一次性验证码。也就是说，验证码是根据当前时间在该时间段内生成的。这些验证码也是通过用户注册时与认证服务器提供的共享密钥或秘密种子验证码（通过QR码或明文）生成的。

二维码

这个验证码会显示给用户，用户需要在指定的时间内使用它，过期后码将失效，无法在登录表单中使用。

TOTP包括一串动态的数字代码，通常为四到六位数，每30到60秒更换一次。互联网工程任务组 (IETF) 发布了TOTP，其描述在RFC 6238中，并使用标准算法获取一次性密码。

TOTP的发明者是开放认证行动倡议 (OATH) 的成员。它曾作为专利产品进行销售，并在标准化后由不同的认证供应商推广。它目前被广泛应用于云应用提供商。它们用户友好，可离线使用，非常适合在飞机上使用或在没有网络覆盖的情况下使用。

作为应用程序中的第二个授权因素，TOTP为您的账户提供了额外的安全层，因为您需要在登录时提供一次性数字验证码以证明您拥有该账户。它们通常被称为“软件令牌”、“软令牌”和“基于应用的认证”，并用于Google Authenticator和Authy等认证应用程序中。

工作原理是，在您输入账户用户名和密码后，会提示您在另一个登录界面中输入有效的TOTP验证码作为您拥有该账户的证明。

在某些模型中，TOTP通过短信文本消息发送到您的智能手机上。您也可以通过扫描QR码图像从认证器智能手机应用程序中获取验证码。这种方法是最常用的方法，这些代码通常在约30或60秒后过期。然而，有些TOTP可以持续120或240秒。

验证码是在您的设备上而不是服务器端使用认证器应用程序创建的。因此，您始终可以访问您的TOTP，服务器无需在您每次登录时发送短信。

还有其他方法可以获取您的TOTP：

由于TOTP是基于时间的，且在几秒钟内过期，黑客没有足够的时间来猜测您的验证码。这样，它们为较弱的用户名和密码身份验证系统提供了额外的安全性。

以下过程简要说明了TOTP认证流程是如何工作的。

当用户想要访问像云网络应用这样的应用程序时，在输入用户名和密码后，会提示他们在输入TOTP之前输入TOTP。他们请求启用双因素认证 (2FA)，而TOTP令牌使用TOTP算法生成OTP。

用户在请求页面上输入令牌，安全系统使用相同的当前时间和共享密钥或密钥组合来配置它的TOTP。系统比较两个验证码；如果匹配，用户将被验证并获得访问权限。值得注意的是，大多数TOTP都会通过QR码和图像进行认证。

HMAC-based One-time Password 提供了TOTP构建的框架。TOTP和HOTP在某些方面有相似之处，两种系统都使用秘密密钥作为生成密码的输入之一。然而，TOTP使用当前时间作为另一个输入，而HOTP使用计数器。

此外，就安全性而言，TOTP比HOTP更安全，因为生成的密码在30到60秒后过期，过期后会生成新密码。而HOTP的密码只要您使用它，就仍然有效。因此，许多黑客可以访问HOTP并使用它们进行成功的网络攻击。尽管仍有一些认证服务使用HOTP，但大多数流行的认证器应用程序都需要TOTP。

TOTP具有以下优点，可以为您提供额外的安全层。单独使用用户名和密码系统是脆弱的，并且常常容易受到中间人攻击。但是，通过基于TOTP的双因素认证 (2FA/MFA) 系统，即使黑客窃取了您的传统密码，他们也没有足够的时间来访问您的TOTP，因此他们几乎无法入侵您的账户。

黑客可以轻松访问您的用户名和密码，并入侵您的账户。然而，通过基于TOTP的双因素认证 (2FA/MFA) 系统，您可以拥有更安全的账户，因为TOTP是限时的，几秒钟后就会过期。实施TOTP显然是值得的。