如何使用一个密码创建 pin（又名 Google 2-Factor-Auth）

Question

也许你们中的一些人知道 Google 的 2-Factor-Authentication；首先 Google 生成一个常量密码（例如“abcd”）。 如果您登录，系统会要求您输入 PIN 码，应用程序可以生成该 PIN 码，或者您也可以使用 10 个预设 PIN 码之一。有趣的是，您不必使用一个 PIN，应用程序会在不使用网络访问的情况下生成一个随机PIN。

这是怎么做到的？我知道如何使用一个特定的引脚来完成此操作，但是如何使用多个“随机”引脚呢？

谢谢， 马克

Answer 1

这是通过 HOTP（基于哈希的 OTP）等系统实现的。 RFC 详细解释了它的工作原理，但简而言之：

1. 服务器生成一个随机数密钥并与 OTP 生成器共享。
2. 服务器和 OTP 生成器都将计数器初始化为 0。
3. 当用户从 OTP 生成器请求新密钥时，它会增加计数器，计算 HMAC 使用共享密钥，并以指定方式对部分散列进行编码，产生数字代码。
4. 当服务器收到 OTP 代码时，它会执行相同的计算，如果匹配则接受它。如果没有，它会再次尝试使用其他几个（较大的）计数器 ID，以防用户跳过一个或多个 ID。

预先生成的 OTP 列表只需如上所述提前生成。

Answer 2

我相信谷歌通过计算它认为您可以使用的多个引脚来做到这一点，并且愿意接受任何匹配的引脚。

这是一个重要的可用性功能，因为这意味着如果有人使用 2-factor 登录一次失败，他们可以尝试再次登录并且仍然可以。