什么是一次性密码 (OTP)？功能和优点说明

 

在欺诈猖獗的世界里，如果能有一种简单的方法来确定你正在与正确的人交谈，那岂不是很好吗？随着我们的生活越来越多地在网上进行，对简单可靠的 身份验证的需求 比以往任何时候都更加重要。  

一次性密码 (OTP)，也称为一次性密码或一次性 PIN，增加了一层安全保护，以验证和保护全球用户。随着移动安全需求的不断增长，全球多因素身份验证 (MFA) 市场 价值预计 将在 2028 年达到 348 亿美元，而 2023 年为 152 亿美元。  

OTP 是一种简单、经济高效的解决方案，可供组织验证和保护其客户和员工的个人信息。如果您想了解如何在节省时间和金钱的同时从世界任何地方即时验证您的客户，本指南适合您。

Sinch 金融服务总监 Alejandro Murcia 解释企业如何使用 OTP

什么是一次性密码 (OTP)？

一次性密码 (OTP) 是用户登录帐户、网络或系统时验证其身份的快速方法。用户会收到一个唯一的代码（通常是一串数字或字母），该代码会在短时间后过期，并且无法重复使用。

一次性密码具有一些共同的特征，例如它们具有时间敏感性并且不能重复使用。

OTP 可以通过电子邮件、电话、身份验证器应用程序（常见的包括 Google Authenticator 或 Microsoft Authenticator）、短信、  RCS OTP 或通过 WhatsApp 等其他移动消息渠道或 推送通知发送给用户。它们可以用作 单因素身份验证 ，用每个会话的唯一 PIN 替换静态密码，而不需要用户名和密码。  

或者，它们可以与用户生成的凭证相结合，实现 双因素身份验证 (2FA)， 既需要用户 知道的东西 （如 PIN），也需要用户 拥有的东西 （如密钥卡）。这可以在注册、登录或交易批准期间发挥作用，其中： 

1. 客户尝试在无法识别的设备上使用其用户名和密码  
2. 然后，客户接收并使用他们的 OTP 来验证他们的身份和设备

用户如何获取一次性密码？

对于最终用户来说，获取 OTP 既快捷又简单。以下是常见情况：  

1. 客户尝试从新设备登录他们的网上银行。 
2. 银行无法识别他们的设备。他们建议 通过 WhatsApp、短信、电话、推送通知或 电子邮件发送验证码。 
3. 客户选择如何接收 OTP 并在几秒钟内获得它。 
4. 用户输入 OTP 及其登录详细信息，然后，就成功了！他们登录成功了。 

很酷吧？在幕后，各种魔法都被用来生成并向客户提供一次性密码。我们将在下面的部分揭秘魔术师的秘密。

OTP 可以通过多种不同的渠道发送，例如 WhatsApp。

一次性密码如何工作？

每当用户尝试访问系统或在未经身份验证的设备上执行交易时，  OTP 生成器 和 身份验证服务器 都会协同使用安全令牌（或共享密钥）来验证其身份。

首先，OTP 生成器使用散列消息认证码 (HMAC) 算法为每个访问请求创建一个新的随机代码。

顾名思义，所有 OTP 都只能使用一次，但唯一的密码要么基于哈希（HOTP），要么基于时间（TOTP）。

HOTP 与 TOTP

基于哈希的 OTP  （HOTP）和 基于时间的一次性密码（TOTP）之间的主要区别  在于每次算法生成代码时都会发生变化的移动因素。

基于哈希的 OTP：

• 移动因子是一个计数器，它根据创建的 OTP 总数生成
• 密码是通过算法生成的
• 就像在面包店排队取票一样，号码包含在密码中

• 密码使用后会过期，或者需要输入新的 OTP
• 也称为基于事件的 OTP

我们的 WhatsApp 号码服务可展 瑞士 WhatsApp 号码列表 示您的业务，以便进行真正的快速推广，直接且即时地与增长前景建立联系。借助 WhatsApp 号码服务，可以轻松快速地生成潜在客户，以推广业务并接触目标受众。

基于时间的 OTP：

• 时间是推动因素
• 密码包含请求的确切时间
• 例如，下午 1:05:43 = 10543

• 密码在使用后或经过一定时间后会过期
• 也称为基于应用程序的身份验证或软件令牌
• 一般认为比 HOTP 更安全，因为它们只在特定时间段内有效。

一旦发出，OTP 生成器就会与后端身份验证服务器共享新代码。

当用户输入他们的代码时，OTP 认证服务器使用与生成器相同的算法来匹配代码，以便轻松、即时地进行验证！

一次性密码安全吗？

密码是一种弱的身份验证形式——2024 年 68% 的商业 数据泄露 都涉及人为错误。  

那么，企业如何帮助客户保护密码呢？教育他们 立陶宛电话号码资源 最佳实践，例如永远不要共享密码或在账户之间重复使用密码，会有所帮助。但对于处理敏感数据的企业来说，这还不够。添加另一种身份验证方法（例如一次性密码或双因素身份验证）可以通过在每次登录会话或交易中更改验证来提高安全性。  

不过，OTP 很容易受到黑客攻击。因此我们建议 使用基于 SIM 的验证方法 ，这种方法要求用户在移动设备上与提示进行交互，让伺机而动的黑客难以得逞。

OTP 有哪些好处？

OTP 用途广泛，可利用移动设备的广泛使用覆盖全球用户。它们 澳大利亚号码 可通过不同渠道传递，方便用户使用。 

通过 OTP，组织可以为用户提供 安全、可扩展且无忧的身份验证 体验，保护敏感信息并建立对其数字平台的信任。 

核心优势可以归结为： 

• 增强欺诈和数据保护 
• 可通过移动设备扩展全球覆盖范围 
• 方便易用 

每项好处都值得特别关注，让我们深入了解一下。

阻止身份窃贼

企业使用 OTP 使得未经授权访问客户或员工帐户变得更加困难。  

为了演示，让我们想象一下，当未经授权的人试图访问他人的在线帐户时会发生什么。合法用户会收到他们未请求的代码 – 这绝对是一个危险信号。虽然企业可能不知道该尝试是否合法，但用户很快就会意识到有些不对劲并更新密码。 

如果未识别的设备尝试访问帐户，系统也会发送验证消息，以便用户轻松标记可疑活动。这样，用户就可以保持控制，而无需不必要的帐户锁定，而企业则表明他们正在积极保护个人信息，这对赢得信任大有裨益！

其他人几乎不可能猜到

对于这样一个简单的想法（四到八个随机数），OTP 在减轻弱密码安全性带来的风险方面非常有效。

让我们从数学角度来看待这个问题。如果你发出一个随机的六位数代码，身份窃贼必须在很短的时间内正确猜出每个数字。

这意味着 10 种可能性（零到九），六次（10x10x10x10x10x10）。

换句话说，身份窃贼只有百万分之一的机会正确获取您的 OTP，或者说概率为 0.000001%。

这只是标准的六位数 OTP。如果包含八位数，潜在的身份窃贼中奖的几率可能更大。