密码是最常见的身份验证方式。但是,它们并没有我们想象的便宜和简单,尤其是从组织的角度来看,因为它们必须为使用的每个资源提供一个ID和密码,还必须管理使用它们的许多人的密码门户网站。另外,用户记住他们登录的每个网站的密码也变得很麻烦。因此,我们可以使用密码的替代方法,即身份验证令牌。
身份验证令牌是密码的一种非常有用的替代方法。这是一种小型设备,每次使用都会生成一个新的随机值。该随机值用于验证用户。
认证令牌的组成
- 处理器
- 用于显示输出的液晶显示屏(液晶显示屏)
- 电池
- 一个用于输入信息的小键盘
- 实时时钟
每个这样的设备(身份验证令牌)都使用称为随机种子或种子的唯一编号进行了预编程。该种子可确保由身份验证令牌(设备)生成的输出是唯一的。身份验证令牌是2要素身份验证的示例,因为令牌本身受到某些PIN的保护。
身份验证令牌的工作
1.代币的创建
创建身份验证令牌后,身份验证服务器会为令牌生成相应的随机种子。该种子由身份验证令牌自动使用,因此用户不知道种子的值。该种子已在令牌中进行了预编程,并且针对该用户在用户数据库中的记录进行了输入。
2.令牌的使用
身份验证令牌会自动生成伪随机数,称为一次性密码或一次性密码(这些密码只能使用一次)。一旦使用它们,就无法重复使用。该一次性密码基本上是4位PIN码。以下是使用此一次性密码的一些要点。
- 被认证的用户将输入他/她的ID和一次性密码,该密码将被发送到服务器。
- 服务器使用种子检索程序从用户数据库接收与用户ID对应的种子。
- 服务器将种子和一次性密码提供给密码验证程序。
- 该程序检查一次性密码和种子是否相互关联。
3.服务器响应
服务器最终根据上一步的输出(成功/失败)以适当的消息作为响应。
身份验证令牌的类型:
响应/挑战令牌
1.用户通过仅提供其用户ID而不提供一次性密码来发送登录请求。
2.服务器检查用户ID是否有效。如果无效,则返回一条错误消息,否则,服务器将创建一个随机质询。然后将随机质询发送给用户。
3.用户收到随机挑战。使用PIN和小键盘在随机询问中打开验证令牌。
4.令牌的种子对随机质询进行加密,然后用户在登录请求的密码部分中输入该质询。
5.服务器验证用户收到的加密随机质询,可以通过两种方式完成:
- 服务器可以使用用户的种子值解密从用户接收的加密随机质询,该种子值可通过用户数据库供服务器使用。如果此解密与服务器上可用的原始随机质询匹配,则身份验证成功。
- 服务器可以使用用户的种子来加密自己的随机质询版本,该版本已被更早发送给用户。如果此加密与从用户接收到的加密随机质询匹配,则身份验证成功。
基于时间的令牌
在基于时间的令牌中,服务器无需向用户发送任何随机质询。令牌无需输入键盘。实际上,它使用时间代替随机挑战。令牌每60秒自动生成一个密码,并在LCD输出上为用户显示最新密码。
为了生成密码,基于时间的令牌使用种子和当前系统时间。
- 当用户想要登录时,他/她输入令牌的LCD上显示的密码,并使用该密码及其用户ID进行登录。
- 服务器接收密码,并对用户的种子值和当前系统时间执行独立的加密函数,以生成其密码版本。如果两个值匹配,它将认为用户是有效的。
- 最后,服务器根据上一步的结果将适当的消息发送回用户。
由于其自动化的性质(与质询/响应令牌相比),基于时间的令牌在现实生活中被更频繁地使用。