安全概念 - 2FA and TOTP

2FA

2FA (2-factor Authentication) 双因子身份验证，是 MFA （多因子身份认证）的一种，它在登录时除了常规的账号/密码外，增加一种额外的验证方式，如:

• 短信验证
• 邮箱验证码
• 生物识别认证
• 硬件令牌
• TOTP （基于时间的一次性密码）
• HOTP （基于事件的一次性密码）
• 推送通知
• 安全问题

常见的例子为：阿里云登录时，要求支付宝扫码

TOTP

即 Time-Based One-Time Password, 是一种根据预共享密钥与当前时间计算一次性密码的算法， 常见的例子为: steam 的登录令牌

TOTP 算法的核心在于通过预共享密钥和当前时间戳生成一个一次性密码。这个密码通常是一个6位或8位的数字，每30秒（或设定的时间步长）更新一次。用户需要在验证过程中输入这个密码，以完成多因素认证