什么是一次性密码 (OTP)?
一次性密码 (OTP) 是用于访问计算机系统的一次性有效密码。
传统的固定密码如果泄露给第三方,很容易受到未授权访问。 密码泄露可能是由于窃听通信渠道、长期暴力攻击和其他方法造成的,而且合法用户往往并不知情。 相比之下,一次性密码仅限一次使用,因此可以非常有效地防止因密码泄露而导致的未授权访问。 OTP 广泛应用于对安全性要求较高的场景,例如网上银行、基于网络的电子邮件应用和在线游戏。
在早期的实现中,OTP 通常使用专用硬件令牌生成。 这些令牌将其时钟与正在访问的系统同步,并定期生成一个新号码(OTP)。 用户在登录时激活令牌,检索显示的 OTP,并将其用作登录密码。 这种方法称为时间同步 OTP。
最近,质询-响应 OTP 方法越来越受欢迎,智能手机是这种方法的常用工具。 在此过程中,用户向目标系统预先注册他们的智能手机。 登录时,他们首先输入用户 ID 和密码。 然后,系统会将 OTP 发送到用户的智能手机,通常通过短信、电子邮件或专用应用程序发送。用户在登录屏幕上输入收到的 OTP 即可完成登录过程。 由于这些系统使用两层身份验证,因此它们通常被称为两步验证或双因素身份验证(2FA)。
F5 BIG-IP 访问策略管理器 (APM)有助于高效实施质询响应 OTP 系统,在不牺牲可用性的情况下增强安全性。