otp

As senhas de uso único (OTPs) são um mecanismo para melhorar a segurança apenas das senhas. Quando um OTP baseado em tempo (TOTP) é armazenado no telefone de um usuário e combinado com algo que o usuário conhece (senha), você tem um acesso fácil para a autenticação multifator sem adicionar dependência de um provedor de SMS. Esta combinação de senha e TOTP é usada por muitos sites populares, incluindo Google, GitHub, Facebook, Salesforce e muitos outros.

A biblioteca otp permite adicionar facilmente TOTPs ao seu próprio aplicativo, aumentando a segurança do usuário contra violações de senha em massa e malware.

Como o TOTP é padronizado e amplamente implantado, existem muitos clientes móveis e implementações de software.

• Geração de imagens de QR Code para fácil cadastro de usuários.
• Algoritmo de senha única baseado em tempo (TOTP) (RFC 6238): OTP baseado em tempo, o método mais comumente usado.
• Algoritmo de senha única baseado em HMAC (HOTP) (RFC 4226): OTP baseado em contador, no qual o TOTP se baseia.
• Geração e validação de códigos para qualquer algoritmo.

Para obter um exemplo de fluxo de trabalho de inscrição funcional, o GitHub documentou o deles, mas o básico é:

1. Gere uma nova chave TOTP para um usuário. key,_ := totp.Generate(...) .
2. Exiba o segredo da chave e o código QR para o usuário. key.Secret() e key.Image(...) .
3. Teste se o usuário pode usar seu TOTP com êxito. totp.Validate(...) .
4. Armazene o segredo TOTP para o usuário em seu back-end. key.Secret()
5. Forneça ao usuário "códigos de recuperação". (Veja os códigos de recuperação abaixo)

• Nos casos TOTP ou HOTP, use a função GenerateCode e um contador ou estrutura time.Time para gerar um código válido compatível com a maioria das implementações.
• Para configurações incomuns ou personalizadas, ou para detectar erros improváveis, use GenerateCodeCustom em qualquer um dos módulos.

1. Solicitar e validar a senha do usuário normalmente.
2. Se o usuário tiver o TOTP ativado, solicite a senha do TOTP.
3. Recupere o segredo TOTP do usuário do seu back-end.
4. Valide a senha do usuário. totp.Validate(...)

Quando um usuário perde o acesso ao seu dispositivo TOTP, ele não terá mais acesso à sua conta. Como os TOTPs são frequentemente configurados em dispositivos móveis que podem ser perdidos, roubados ou danificados, este é um problema comum. Por esta razão, muitos provedores fornecem aos seus usuários “códigos de backup” ou “códigos de recuperação”. Estes são um conjunto de códigos de uso único que podem ser usados ​​em vez do TOTP. Elas podem ser simplesmente strings geradas aleatoriamente que você armazena em seu back-end. A documentação do Github fornece uma visão geral da experiência do usuário.

Abra problemas no Github para ideias, bugs e pensamentos gerais. Solicitações pull são obviamente preferidas :)

otp é licenciado sob a Licença Apache, Versão 2.0