otp

Las contraseñas de un solo uso (OTP) son un mecanismo para mejorar la seguridad de las contraseñas únicamente. Cuando una OTP basada en tiempo (TOTP) se almacena en el teléfono de un usuario y se combina con algo que el usuario sabe (contraseña), tiene un acceso fácil a la autenticación multifactor sin agregar una dependencia de un proveedor de SMS. Esta combinación de contraseña y TOTP es utilizada por muchos sitios web populares, incluidos Google, GitHub, Facebook, Salesforce y muchos otros.

La biblioteca otp le permite agregar fácilmente TOTP a su propia aplicación, lo que aumenta la seguridad de su usuario contra violaciones masivas de contraseñas y malware.

Debido a que TOTP está estandarizado y ampliamente implementado, existen muchos clientes móviles e implementaciones de software.

• Generación de imágenes de códigos QR para facilitar la inscripción de usuarios.
• Algoritmo de contraseña de un solo uso basado en tiempo (TOTP) (RFC 6238): OTP basado en tiempo, el método más utilizado.
• Algoritmo de contraseña de un solo uso (HOTP) basado en HMAC (RFC 4226): OTP basado en contador, en el que se basa TOTP.
• Generación y Validación de códigos para cualquiera de los algoritmos.

Para ver un ejemplo de un flujo de trabajo de inscripción funcional, GitHub ha documentado el suyo, pero los conceptos básicos son:

1. Generar nueva clave TOTP para un usuario. key,_ := totp.Generate(...) .
2. Muestra el secreto de la clave y el código QR para el usuario. key.Secret() y key.Image(...) .
3. Pruebe que el usuario pueda utilizar con éxito su TOTP. totp.Validate(...) .
4. Almacene el secreto TOTP para el usuario en su backend. key.Secret()
5. Proporcionar al usuario "códigos de recuperación". (Consulte los códigos de recuperación a continuación)

• En los casos TOTP o HOTP, utilice la función GenerateCode y un contador o estructura time.Time para generar un código válido compatible con la mayoría de las implementaciones.
• Para configuraciones poco comunes o personalizadas, o para detectar errores poco probables, use GenerateCodeCustom en cualquiera de los módulos.

1. Solicite y valide la contraseña del usuario como de costumbre.
2. Si el usuario tiene TOTP habilitado, solicite el código de acceso TOTP.
3. Recupere el secreto TOTP del usuario desde su backend.
4. Validar la contraseña del usuario. totp.Validate(...)

Cuando un usuario pierde el acceso a su dispositivo TOTP, ya no tendrá acceso a su cuenta. Debido a que los TOTP a menudo se configuran en dispositivos móviles que pueden perderse, ser robados o dañarse, este es un problema común. Por este motivo, muchos proveedores dan a sus usuarios "códigos de seguridad" o "códigos de recuperación". Estos son un conjunto de códigos de un solo uso que se pueden usar en lugar del TOTP. Estas pueden ser simplemente cadenas generadas aleatoriamente que almacena en su backend. La documentación de Github proporciona una descripción general de la experiencia del usuario.

Abra los problemas en Github para obtener ideas, errores y pensamientos generales. Por supuesto, se prefieren las solicitudes de extracción :)

otp tiene la licencia Apache, versión 2.0