OTP竟然没那么安全？！

现如今，每天都会有大量登录或线上购物消费的操作，无一例外都需要进行身份验证，其中，OTP作为最常见的MFA方法，广泛应用于不同平台，因为其可以在一定程度上提高身份验证的安全性。

然而，在线欺诈攻击在策略和数量方面的快速发展已超出OTP能发挥作用的一定程度内，换言之，OTP的保护性作用已不能满足当下网络安全需求。

本文将揭示OTP的本质，流行的渠道，安全性不足的原因，并给出一些可供选择的解决方案。

什么是OTP？

OTP（One-time password,一次性密码）本质是一串字符串，是通过特定算法自动生成的密码，用于在账号登录和交易进行时进行身份验证，且具有时效性。

与传统的静态密码相比，OTP安全性更高，因为只有接收平台的合法用户，才能收到密码进行验证。

OTP的类型

企业可选用不同类型的OTP在平台上验证其用户身份。OTP类型的选择可以反映业务运营区域中的常见用户行为，以及用户偏爱的认证方法。

短信OTP

这是最广泛使用的OTP形式，通过短信将生成的OTP发送到用户手机上，从而为用户名和密码提供了又一层保护，是2FA过程的关键组成部分。

电子邮件OTP

通过用户注册的电子邮件地址发送OTP给用户，其成功率高，方便性强，因而广受欢迎。然而，这一过程的安全性取决于用户电子邮件的安全程度，比如避免恶意攻击的能力。

应用程序OTP

随着智能手机日益普及，许多企业和服务机构选择采用应用程序生成的OTP，用户可以关联多个账户，并生成相应的密码。有些银行会开发自己的OTP生成器应用程序，在客户登录或进行交易时生成和检索OTP。此外，还可以为该应用程序设定密码，防止其遭到非法使用。

智能卡OTP

与其他类型相比，这种OTP具有唯一性，因为OTP生成基于用户持有的卡片，常用于银行和国防服务中，以保护相关活动。智能卡内含嵌入式芯片，当与读卡器接触时，就能产生OTP，这为身份验证增加了一层物理保护。

OTP的工作原理

OTP身份验证是双方之间的约定，即用户寻求身份验证，而身份验证服务器端寻求验证用户的身份，此过程中双方共享同一个序列密码。一般来说，OTP可以通过APP、SMS、OTP令牌、安全密钥等方式发送给用户。

为什么受到广泛应用？

自80年代初莱斯利·兰波特（Leslie Lamport）首次提出以来，OTP受到快速追捧，成为认证用户的通用方法，因为人们只要有手机就可以接收到短信OTP。

除短信外，尤其是智能手机出现后，电子邮件也成为了用户接收OTP的一种简单方式。与传统密码相比，OTP不仅验证方式便捷高效，安全性也更高，因为OTP具有时效性，不能被重用或重播。

OTP是你想的那么安全吗？

长久以来，OTP一直在作为身份验证的附加层，但这一方法并非完全安全。随着技术和互联网空间的发展越来越复杂，不法分子攻击企业和个人的手段也愈加多样。OTP也不可避免地受到攻击，给金融机构带来了潜在威胁，这促使人们不断寻找更安全可靠地替代方案。

常见的OTP攻击

不法分子可以通过多种方式发起攻击，如窃取短信、替换SIM卡、黑进电子邮箱。

窃取短信

中间人（MITM）攻击在网络世界已不是新鲜事儿，尤其对于短信攻击而言，信令系统No. 7（SS7）的安全漏洞成了不法分子非法访问电信信息（短信OTP）的一个途径。

除了SS7之外，不法分子还会试图通过社会工程和网络钓鱼攻击技术来窃取用户凭证。比如，他们会通过通过诱饵短信、社交媒体信息和电子邮件向用户发送虚假网站链接，欺骗用户输入个人信息，随后，不法分子利用这些信息进行账户接管或欺诈交易。

替换SIM卡

不法分子基于收集到的用户信息，采用社会工程策略，例如行贿，诱使电信公司将用户的电话号码转移到另一设备和SIM卡上。令人惊讶的是，根据普林斯顿大学的一项研究报告，替换SIM卡的成功率高达80%。

黑进电子邮件

在实施双因素认证时，许多公司会处于成本效益考虑选择电子邮件而非短信，另外他们在注册过程中也不必收集和存储用户手机号。

多数情况下，电子邮件帐户仅由用户名和密码保护。这就给了攻击者可乘之机，他们通过MITM或社会工程攻击策略黑进邮箱账户，让用户失去对账户的访问权限，截获OTP。

有替代方案吗？

约五年前，美国国家技术标准研究所建议各组织反对OTP应用，特别是短信OTP，以求创造更安全的在线环境。这是企业系统和安全方案研发人员的期望，也是企业身份验证方案变革的预兆。由此可见，虽然OTP应用广泛，但它并不像您认为那么安全。已经意识到这一问题的企业，大多也不知该采取何种替代方案。

FIDO2身份验证

FIDO（快速身份在线）是一套开放的标准化身份验证协议，旨在促进免密进程。该协议由FIDO联盟（一个总部位于美国的行业协会）开发并提出，金融和技术领域的主要成员，如联想、微软、谷歌、苹果、PayPal、EMVCo、W3C、美国银行等都是其支持者。

联盟成员在2023年圣地亚哥认证活动上提交的报告指出，FIDO2验证确保了100%的登录成功率，同时实现登陆速度分别比短信OTP和电子邮件OTP快40%和53%。

基于公钥加密概念的FIDO协议，需要一对端到端加密的公钥和私钥以及公钥基础设施，公钥存储在公共服务器上，私钥只存储在用户的设备上。在身份验证期间，会发送由私钥签名的挑战信息，随后由服务器上的公钥进行验证。在这种情况下，用户的凭据受到安全保护，就可以避免受到MITM和网络钓鱼的攻击。

自FIDO问世以来，已有超100个官方认证产品，加强版2.0不仅可以提供更全面的验证方法，还可以确保线上活动安全，优化用户体验。除此之外，EMVCo和W3C一直在与FIDO联盟密切合作，以期实现EMV 3-D安全支付2.2版本以及未来安全支付确认（SPC）支持的2.3版本与FIDO验证的有机整合。

直到2023年11月，谷歌、微软、苹果、任天堂、美国银行等科技巨头已经成功在网站和应用程序上采用了FIDO验证方法。在FIDO身份验证流程中，用户无需密码，即可享受安全、快速的登录流程，也可以使用移动设备上的内置生物识别功能，或使用Windows Hello，PIN代码进行验证。

HiTRUST支持并提供FIDO验证服务

虽然社会正处于从密码到无密码迁移的初期阶段，但HiTRUST一直站在创新和开发支付安全解决方案的前沿，已经开发出灵活高效的FIDO解决方案。

登录

FIDO可以为用户提供免密登陆服务。首先，用户必须在服务提供商的网站或应用程序上开启当前账户的FIDO权限，随后账户的关联设备会存储一个私钥，该私钥用于签收从公共服务器发送过来的身份验证挑战，之后，每次登录就可以无需密码，顺利完成。

付款

基于HiTRUST长期以来在银行和支付行业提供身份验证和安全解决方案的经验，我们正在努力将FIDO身份验证应用于3-D安全交易，以进一步优化消费者的购物结账体验。

下图为HiTRUST提供的账户注册和身份验证的用户界面范例。

用户完成网购后，注册步骤开始，此时页面上会有提示，建议用户优先更新到FIDO服务。

下次用户从同一在线商家付款时，就可以选择FIDO作为验证方法，系统将开启生物识别扫描过程对支付进行验证。

结论

虽然OTP已在安全性上有所欠缺，但是仍然拥有着广大的企业和私人账户群体用户，而且长期以来也成为了大家习惯的验证方式。但是，根据相关可靠数据和专家意见，要彻底实现账户安全，就有必要摆脱密码的使用。当账户实现免密保护，网络钓鱼或MITM攻击的成功率就会大大降低，因为不法分子将难以找到入侵渠道。

当然，这只是无密码变革的开始，早点跟上这一洪流，意味着可以尽早实现安全保护升级。心动了吗？那立刻联系我们，开启您的变革之旅吧！