otp

One Time Passwords (OTPs) adalah mekanisme untuk meningkatkan keamanan atas kata sandi saja. Ketika OTP Berbasis Waktu (TOTP) disimpan di ponsel pengguna, dan digabungkan dengan sesuatu yang diketahui pengguna (Kata Sandi), Anda memiliki jalan yang mudah menuju autentikasi multi-faktor tanpa menambahkan ketergantungan pada penyedia SMS. Kombinasi Password dan TOTP ini digunakan oleh banyak website populer termasuk Google, GitHub, Facebook, Salesforce dan banyak lainnya.

Pustaka otp memungkinkan Anda dengan mudah menambahkan TOTP ke aplikasi Anda sendiri, meningkatkan keamanan pengguna Anda terhadap pelanggaran kata sandi massal dan malware.

Karena TOTP distandarisasi dan diterapkan secara luas, terdapat banyak klien seluler dan implementasi perangkat lunak.

• Menghasilkan gambar Kode QR untuk memudahkan pendaftaran pengguna.
• Algoritma Kata Sandi Satu Kali Berbasis Waktu (TOTP) (RFC 6238): OTP berbasis waktu, metode yang paling umum digunakan.
• Algoritma Kata Sandi Satu Kali (HOTP) berbasis HMAC (RFC 4226): OTP berbasis penghitung, yang menjadi dasar TOTP.
• Pembuatan dan Validasi kode untuk salah satu algoritma.

Sebagai contoh alur kerja pendaftaran kerja, GitHub telah mendokumentasikannya, namun dasar-dasarnya adalah:

1. Hasilkan Kunci TOTP baru untuk Pengguna. key,_ := totp.Generate(...) .
2. Menampilkan Rahasia Kunci dan Kode QR untuk Pengguna. key.Secret() dan key.Image(...) .
3. Uji apakah pengguna berhasil menggunakan TOTP mereka. totp.Validate(...) .
4. Simpan Rahasia TOTP untuk Pengguna di backend Anda. key.Secret()
5. Berikan "kode pemulihan" kepada pengguna. (Lihat Kode Pemulihan di bawah)

• Dalam kasus TOTP atau HOTP, gunakan fungsi GenerateCode dan struct counter atau time.Time untuk menghasilkan kode valid yang kompatibel dengan sebagian besar implementasi.
• Untuk pengaturan yang tidak umum atau khusus, atau untuk menangkap kesalahan yang jarang terjadi, gunakan GenerateCodeCustom di salah satu modul.

1. Minta dan validasi kata sandi Pengguna seperti biasa.
2. Jika pengguna mengaktifkan TOTP, minta kode sandi TOTP.
3. Ambil Rahasia TOTP Pengguna dari backend Anda.
4. Validasi kode sandi pengguna. totp.Validate(...)

Ketika pengguna kehilangan akses ke perangkat TOTP, mereka tidak lagi memiliki akses ke akunnya. Karena TOTP sering kali dikonfigurasi pada perangkat seluler yang dapat hilang, dicuri, atau rusak, ini adalah masalah umum. Karena alasan ini banyak penyedia memberikan "kode cadangan" atau "kode pemulihan" kepada penggunanya. Ini adalah sekumpulan kode sekali pakai yang dapat digunakan sebagai pengganti TOTP. Ini bisa berupa string yang dihasilkan secara acak yang Anda simpan di backend Anda. Dokumentasi Github memberikan gambaran umum tentang pengalaman pengguna.

Silakan buka terbitan di Github untuk mendapatkan ide, bug, dan pemikiran umum. Permintaan tarik tentu saja lebih disukai :)

otp dilisensikan di bawah Lisensi Apache, Versi 2.0