帳號盜用除了個人影響外,間接牽連的還有親友與網路服務提供者,對網路服務提供者而言,帳號盜用是會提高營運成本與降低使用者信賴度的麻煩事,因此面對使用者規模與服務品質,強化帳號安全逐漸成為不可忽視的事情,Google 於去年底開始提供 2-step verification 做多層次的帳號驗證,別於以往硬體 OTP 的方式,透過 Smartphone 使用軟體(i.e Google Authenticator) 來規模化佈署。
目前得知使用類似軟體驗證機制的服務提供者有
在 Server 端的實作驗證流程不難,未來可能會變成一種常見的帳號驗證方法。
以下參考國外部落格文章與 Google Authenticator Android原始碼 實作 Two-Factor authentication 驗證流程,並釋出伺服器端原始碼。
操作流程
1. SmartPhone 安裝 Google Authenticator
2. 伺服器環境安裝
3. 進入網站(demo: http://totp-authentication-demo.heroku.com)
4. 建立個人帳號
![](http://1.bp.blogspot.com/-XfnH2Ae9NbA/TwGK6Bm6CkI/AAAAAAAAA9A/uQ6zvwFHfHQ/s640/1.jpg)
![](http://4.bp.blogspot.com/-SHBxa1qur4s/TwGK6-AF05I/AAAAAAAAA9E/Fkb2w0QVC5U/s640/2.png)
這裡經由 QRCode 來簡化 secret key 匯入 Google Authenticator 的流程與避免輸入錯誤,在QRCode 裡內嵌的資料為 Google Authenticator 自訂的內容規格
5. 使用 Google Authenticator 保存secret key 與產生 TOTPe.g.
otpauth://totp/Brandon@brandonc.me?secret=GUK6JNO7TEERYTNC
Google Authenticator 每 30 秒會產生 6 個數字的做為security token
![](http://3.bp.blogspot.com/-lwEvR-58bCc/TwGLABaxqrI/AAAAAAAAA9s/eeF2w-a2rng/s640/7.jpg)
由於裝置與伺服器端會有時間誤差,因此預設設定為接受正負90秒內產生的 OTP
Update 20120829
dropbox 支援 SMS 與 Google Authenticator 的 Two-step verification
https://forums.dropbox.com/topic.php?id=66910
No comments:
Post a Comment