什么是一次性密码 (OTP)？

一次性密码是自动生成的数字代码，只能使用一次。 一次性密码用于在用户访问帐户或系统前对其进行身份验证，通常是多因素身份验证 (MFA) 的一种形式，从而为帐户添加额外验证因素。 许多公司，如金融机构，在允许用户访问其敏感帐户和信息之前，会发送用户一次性密码以验证其身份。

继续阅读，详细了解一次性密码，它们与基于时间的一次性密码 (TOTP) 有何不同，以及如何开始收到此类密码。

OTP vs. TOTP：有何不同？

一次性密码 (OTP) 与基于时间的一次性密码 (TOTP) 之间的主要区别在于 OTP 是一个统称，是指不同类型的一次性密码，而 TOTP 是特定类型的一次性密码。

基于时间的一次性密码是自动生成的代码，仅在一定的时间段内有效，可用于验证用户的身份。 TOTP 代码的有效期通常为 30 指 60 秒。 TOTP 代码过期后，将生成新代码，且只能在有效期内使用。

一次性密码有哪些类型，以及它们是如何运作的？

一次性密码主要有两种：TOTP 和 HOTP。 其运作方式取决于您使用的一次性密码的类型。

TOTP 工作原理

基于时间的一次性密码的工作原理是，用户使用支持 TOTP 代码的专用身份验证应用程序或密码管理器扫描帐户服务器提供的二维码。 扫描二维码可为身份验证应用程序提供一个秘密算法，服务器也会共享该算法。 然后，每 30-60 秒生成六位代码。 或者，用户还可以输入密钥，设置 TOTP。

当用户登录已启用 TOTP 的帐户时，他们必须输入身份验证应用程序提供的在有效期内的六位代码。 用户及时输入 TOTP 代码后，即可成功登录帐户。

TOTP 工作原理

基于哈希的一次性密码 (HOTP) 使用与 TOTP 不同的因子来计算一种称为基于哈希的消息验证码（HMAC）的密码。 HOTP 基于计数器，而非时间，因为它通过计算请求代码的次数来计算代码。

HOTP 代码在使用或申请新的 HOTP 代码之前一直有效。

使用一次性代码的优势

使用一次性密码有两大优势：防止帐户被盗并防范重放攻击。

一次性密码有助于防止帐户泄漏

一次性密码与任何其他 MFA 方式一样，即使有人访问您的登录凭证，也可保护您的线上帐户免于泄漏。 微软研究报告发现，MFA 可阻止超过 99.9% 的帐户泄漏攻击。

例如：假设您的在线账户的用户名和密码在一次公开数据泄漏事件中被暴露，网络犯罪分子获取了这些被泄露的凭证。 由于他们知道凭证所属的帐户，他们企图登录至该帐户。 但是，在他们将凭证输入登录门户后，就会被要求提供密码管理器中显示的一次性代码。

由于网络犯罪分子无法访问您的密码管理器，他们无法提供一次性代码，这意味着他们无法登录您的帐户。

一次性密码可以保护您免受重放攻击

重放攻击也叫作重复或回放攻击，是一种网络攻击，网络犯罪分子可以窃听您的网络，然后拦截正在交换的数据，以便以后延迟或重复数据。 网络犯罪分子成功拦截数据后，还会窃取客户端的会话 ID，使其看似网络上的有效客户端。

一次性密码之所以如此安全，是因为它们只能使用一次，因此即使网络犯罪分子能够利用重放攻击拦截您某个帐户的登录凭证，您输入的一次性密码也无法重复使用。

如何接收一次性密码

您可以在每个线上帐户的安全设置中启用一次性密码，开始接收一次性密码。 在帐户中启用一次性密码时，系统会询问您如何接收它们。 以下是其中一些选择。

注：并非所有网站都支持使用一次性密码作为一种 MFA。

使用强密码和 OTP 保护帐户

强密码和一次性密码可共同保护您的线上帐户不被泄露。 每个线上帐户应具有一个唯一的强密码，从不重复使用，也不包含常见的字典单词或短语。

确保您始终使用强密码的最佳方法是使用密码生成器。 许多密码管理器都内置密码生成器，可帮助您为每个帐户创建强密码，同时还能为您安全地存储它们。 除了强密码外，您的帐户还应启用一次性密码或其他 MFA 方式。

Keeper 密码管理器可帮助您创建并存储密码和一次性密码，从而保护您的帐户安全。 开始使用 Keeper 30 天免费试用，保护您的线上帐户。