otp

Einmalpasswörter (OTPs) sind ein Mechanismus zur Verbesserung der Sicherheit gegenüber Passwörtern allein. Wenn ein zeitbasiertes OTP (TOTP) auf dem Telefon eines Benutzers gespeichert und mit etwas kombiniert wird, das der Benutzer kennt (Passwort), haben Sie einen einfachen Einstieg zur Multi-Faktor-Authentifizierung, ohne eine Abhängigkeit von einem SMS-Anbieter hinzuzufügen. Diese Kombination aus Passwort und TOTP wird von vielen beliebten Websites verwendet, darunter Google, GitHub, Facebook, Salesforce und vielen anderen.

Mit der otp -Bibliothek können Sie ganz einfach TOTPs zu Ihrer eigenen Anwendung hinzufügen und so die Sicherheit Ihrer Benutzer vor Massenverstößen gegen Passwörter und Malware erhöhen.

Da TOTP standardisiert und weit verbreitet ist, gibt es viele mobile Clients und Softwareimplementierungen.

• Generieren von QR-Code-Bildern für eine einfache Benutzerregistrierung.
• Zeitbasierter Einmalpasswort-Algorithmus (TOTP) (RFC 6238): Zeitbasiertes OTP, die am häufigsten verwendete Methode.
• HMAC-basierter Einmalpasswort-Algorithmus (HOTP) (RFC 4226): Zählerbasiertes OTP, auf dem TOTP basiert.
• Generierung und Validierung von Codes für jeden Algorithmus.

Als Beispiel für einen funktionierenden Registrierungs-Workflow hat GitHub seinen dokumentiert, aber die Grundlagen sind:

1. Generieren Sie einen neuen TOTP-Schlüssel für einen Benutzer. key,_ := totp.Generate(...) .
2. Zeigen Sie dem Benutzer das Schlüsselgeheimnis und den QR-Code an. key.Secret() und key.Image(...) .
3. Testen Sie, ob der Benutzer sein TOTP erfolgreich nutzen kann. totp.Validate(...) .
4. Speichern Sie das TOTP-Geheimnis für den Benutzer in Ihrem Backend. key.Secret()
5. Stellen Sie dem Benutzer „Wiederherstellungscodes“ zur Verfügung. (Siehe Wiederherstellungscodes unten)

• Verwenden Sie in TOTP- oder HOTP-Fällen die GenerateCode -Funktion und einen Zähler oder eine time.Time Struktur, um einen gültigen Code zu generieren, der mit den meisten Implementierungen kompatibel ist.
• Für ungewöhnliche oder benutzerdefinierte Einstellungen oder zum Erkennen unwahrscheinlicher Fehler verwenden Sie GenerateCodeCustom in beiden Modulen.

1. Fragen Sie wie gewohnt nach dem Passwort des Benutzers und bestätigen Sie es.
2. Wenn der Benutzer TOTP aktiviert hat, fordern Sie ihn zur Eingabe des TOTP-Passcodes auf.
3. Rufen Sie das TOTP-Geheimnis des Benutzers aus Ihrem Backend ab.
4. Validieren Sie den Passcode des Benutzers. totp.Validate(...)

Wenn ein Benutzer den Zugriff auf sein TOTP-Gerät verliert, hat er keinen Zugriff mehr auf sein Konto. Da TOTPs häufig auf mobilen Geräten konfiguriert werden, die verloren gehen, gestohlen oder beschädigt werden können, ist dies ein häufiges Problem. Aus diesem Grund vergeben viele Anbieter ihren Nutzern „Backup-Codes“ oder „Recovery-Codes“. Hierbei handelt es sich um eine Reihe von Einmalcodes, die anstelle des TOTP verwendet werden können. Dies können einfach zufällig generierte Zeichenfolgen sein, die Sie in Ihrem Backend speichern. Die Dokumentation von Github bietet einen Überblick über die Benutzererfahrung.

Bitte öffnen Sie Issues in Github für Ideen, Fehler und allgemeine Gedanken. Pull-Requests werden natürlich bevorzugt :)

otp ist unter der Apache-Lizenz, Version 2.0, lizenziert