一次性口令 (OTP)：定义、最佳实践和示例

Q: 一次性实时密码有何优势？

一次性实时密码可以降低密码相关风险。 忘记密码 ：一次性实时密码最常见的用途之一是用于用户忘记密码或帐户被盗的情况。在提示用户重置密码之前，可能会向用户发出一次性实时密码以访问其帐户。 重放攻击 ： 在重放攻击中，用户的登录凭据（包括密码）会被截获。 如果密码是静态的，则攻击者便可立即访问该用户的帐户。 但是，当使用一次性实时密码时，被黑客截获的密码不再有效，因为该密码在用户登录帐户时已经使用过一次，因此无法再次使用。 多重身份验证 ：一次性实时密码可以添加额外一层身份验证。使用安全令牌，可以为用户生成一次性实时密码，以提供额外的身份验证形式，从而提高安全性并降低泄露风险。

Q: 一次性实时密码有哪些类型？

基于哈希的一次性实时密码 (HOTP) ：此类一次性实时密码是基于哈希算法生成并发送给用户的，该算法将 OTP 代码与计数器同步，而计数器在用户每次获得访问权时都会发生增量变化。 基于时间的一次性实时密码 (TOTP) ：此类一次性实时密码是基于时间的，因为会就一次性实时密码代码的有效期设定时间范围。通常，时间间隔在 30-60 秒。如果用户未在指定的时间间隔内输入一次性实时密码代码，则必须请求一个新的一次性实时密码代码。

- 行业
  - 1. 金融
    2. 政府
    3. 教育
- 解决方案
  - 我们的专长
  - 强大的身份
  - 安全支付
  - 数据保护
- 产品特征
  - As a Service 产品
- 企业 ID 和发行
  - 即时发卡服务
    了解更多
  - 即时发卡
- 金融 ID 与签发
  - 数字证卡解决方案
    了解更多
  - 数字银行
    1. 数字账户开户
    2. 数字证卡解决方案
  - 即时发卡
  - 集中发卡
- 政府身份证明与签发
  - 数字公民
    1. 无缝旅行即服务
    2. 电子护照即服务
  - 即时发卡
    1. 其他公民证件和执照。
    2. 系统软件
    3. 耗材
    4. HSM 服务
  - 集中发卡
    1. 护照、国民身份证和驾驶证。
    2. 护照发行系统
    3. 国民身份证和驾驶证发行系统
    4. 在线卡片派发和邮封插入
    5. 独立式卡片派发和邮封插入
    6. 系统软件
    7. 耗材
    8. HSM 服务
  - 身份验证即服务
    我们的 IDVaaS 解决方案支持远程验证个人申报的身份，可用于移民、边境管理或数字服务交付等场景。
    了解更多
- 云安全态势管理
  - CloudControl 30 天免费试用
    Entrust CloudControl 在虚拟化、公有云和容器平台上提供全面的安全性和自动的合规性，同时能够提高可见性，并降低可能导致意外停机或安全隐患的风险。
    立即开始免费试用
- 密钥管理和加密
  - 用于 VM 加密的密钥控制
  - KeyControl 30 天免费试用
    VMware vSphere 和 vSAN 加密需要外部密钥管理器，而 KeyControl 已获得 VMware Ready 认证，建议使用。 KeyControl 支持企业轻松地大规模管理所有加密密钥，包括密钥轮换频率以及如何安全共享密钥。
    开始免费试用
- 硬件安全模块 (HSM)
  - 1. nShield 即服务
  - nShield HSM
  - 为什么需要 HSM
    了解与硬件安全模块在安全和成本节省方面为您提供哪些功能相关的所有详细信息…
    了解更多
- 数字证书
  - 1. 购买证书
    2. 续订证书
  - TLS/SSL 证书
  - 合格证书
    1. QWAC eIDAS 证书
    2. QWAC PSD2 证书
  - 销售与服务
- 身份和访问管理 (IAM)
  - 产品
    1. Identity as a Service 身份验证服务
      基于云的身份和访问管理
    2. 企业身份认证
      本地身份和访问管理
    3. 身份认证要素
      面向 Windows 用户的本地多重身份验证解决方案
    4. API 和 SDK
  - 免费获得 Entrust Identity as a Service 60 天
    了解 Identity as a Service 平台，该平台可让您访问一流的 MFA、SSO、基于风险的自适应身份验证以及众多高级功能，这些功能不仅可以确保用户安全，还可以提供最佳体验。
    开始免费试用
- 电子和数字签名
  - 数字签名服务
  - 数字签名证书
  - 数字签名基础设施
  - 欧盟合格的信托服务
    除了长期的 Adobe 批准信任列表 (AATL) 成员资格外，我们还是一家欧洲合格的信托服务提供商，负责为合格签名和高级印章、PSD2 证书和 QWAC 颁发 eIDAS 合格证书
    了解更多
- 公钥基础设施 (PKI)
  - PKI 产品
  - 托管服务
  - 加密卓越中心
  - 立即试用后量子 PKI 即服务
    准备好 PQ。PKIaaS PQ 可以为客户提供复合型和单一型量子 Certificate Authority 层次结构。
    立即试用
- 资源
  - 发卡系统知识库
    了解更多
  - 数字安全知识库
    了解更多
  - 网络安全研究所
    浏览我们的 Trust Matters 简报、讲解视频和网络安全研究所播客，获取有关安全概念的重要见解和指导。
    了解更多
- 合作伙伴
  - 与 Entrust 合作
    加入我们的一项或多项合作伙伴计划，我们将帮助您提高盈利能力、扩展品牌，并锁定战略客户。
    了解更多内容
  - 合作伙伴目录
    根据地点、产品、渠道或技术搜索合作伙伴。
    寻找合作伙伴
  - 计划
  - 合作伙伴登录
- 购买
  - 商店证书服务
    购买新的单张证书。
    了解更多
  - 证书服务客户门户网站
    现有的 Entrust 证书服务客户可以登录此网站发放和管理证书或购买其他服务。
    了解更多
  - 证书服务合作伙伴门户网站
    现有的合作伙伴可以配置新客户并管理库存。
    了解更多
  - 金融即时发卡耗材
    1. 注册客户登录
    2. 请求访问
- 公司简介
  - 1969 年以来，持续为不断发展的世界保驾护航
    纵观 Entrust 公司历史，我们已经在整个星球甚至太空建立了安全连接。我们通过证卡打印和发卡技术助力实现了借记卡和信用卡在消费领域的可信发展。通过边境管制证件解决方案为国际旅行保驾护航。使用 SSL 技术，打造互联网安全体验。利用身份验证产品套件保护网络和设备。
    探索我们的历史
  - 1. 领导层
    2. 活动
    3. 新闻
    4. 新闻稿
  - 网络安全研究所
    浏览我们的 Trust Matters 简报、讲解视频和网络安全研究所播客，获取有关安全概念的重要见解和指导。
    了解更多
- 搜索 Entrust
  - 搜索：

一次性实时密码 (OTP) 是为单次登录尝试或交易生成的一串数字和/或字符，并会发送给用户供上述用途使用。

一次性实时密码有何优势？

一次性实时密码可以降低密码相关风险。

忘记密码：一次性实时密码最常见的用途之一是用于用户忘记密码或帐户被盗的情况。在提示用户重置密码之前，可能会向用户发出一次性实时密码以访问其帐户。

重放攻击：在重放攻击中，用户的登录凭据（包括密码）会被截获。如果密码是静态的，则攻击者便可立即访问该用户的帐户。但是，当使用一次性实时密码时，被黑客截获的密码不再有效，因为该密码在用户登录帐户时已经使用过一次，因此无法再次使用。

多重身份验证：一次性实时密码可以添加额外一层身份验证。使用安全令牌，可以为用户生成一次性实时密码，以提供额外的身份验证形式，从而提高安全性并降低泄露风险。

一次性实时密码有哪些类型？

基于哈希的一次性实时密码 (HOTP)：此类一次性实时密码是基于哈希算法生成并发送给用户的，该算法将 OTP 代码与计数器同步，而计数器在用户每次获得访问权时都会发生增量变化。

基于时间的一次性实时密码 (TOTP)：此类一次性实时密码是基于时间的，因为会就一次性实时密码代码的有效期设定时间范围。通常，时间间隔在 30-60 秒。如果用户未在指定的时间间隔内输入一次性实时密码代码，则必须请求一个新的一次性实时密码代码。

如何安全地向用户提供一次性实时密码？

一次性实时密码使用安全令牌生成并会安全地发送给用户。

硬令牌：智能卡、USB 密钥、无钥匙进入系统、手机和蓝牙令牌都能够生成一次性实时密码。硬令牌的形式有连接式、断开连接式或完全非接触式。

软令牌：推送电子邮件、短信或应用程序通知是一次性实时密码软令牌的常见形式。

一次性实时密码与 2FA

一次性实时密码和 2FA 有什么区别？

一次性实时密码可以用作 2FA/多重身份验证的一种形式，但也可以用作自主安全机制，在每次登录时为用户提供一次性实时密码。因此，这些术语不能混为一谈，因为一次性实时密码只是 2FA/多重身份验证众多形式中的一种，并且也可以单独作为一种安全解决方案。

一次性实时密码比静态密码更安全吗？

毫无疑问，一次性实时密码可以为静态密码增加一层额外的安全保护。只用密码进行身份验证易受到攻击 - 占安全漏洞的 81%。为密码增加额外一层身份验证可确保安全性得到提升。当然，也可以通过免密的形式完全告别密码。

Entrust 是否提供一次性实时密码服务？

毫无疑问，Entrust 提供丰富的身份验证解决方案，其中就包括一次性实时密码。

什么是身份和访问管理？

身份和访问管理 (IAM) 是由安全策略和技术组成的框架，可确保适当实体能够在适当的时间访问适当资源。

实体可以是个人或设备。资源包括应用程序、网络、基础架构和数据。IAM 可应用于员工、消费者和公民用例。

身份和访问管理 (IAM) 基于建立和维护可信数字身份这一前提。借助身份和访问管理，组织能够对实体进行身份验证和授权，授予对适当资源的安全访问权限。同样随着时间的推移，借助基于风险的自适应身份验证维持信任，在条件允许的情况下提供递进型质询。