Otp 驗證 是 什麼

一次性密碼（英語：one-time password，簡稱OTP），又稱動態密碼或單次有效密碼，是指計算機系統或其他數位裝置上只能使用一次的密碼，有效期為只有一次登錄會話或交易。OTP 避免了一些與傳統基於（靜態）密碼認證相關聯的缺點；一些實作還納入了雙因素認證，確保單次有效密碼需要存取一個人有的某件事物（如內建 OTP 計算機的小鑰匙掛件裝置）以及一個人知道的某件事物（如 PIN）。

相對於靜態密碼，OTP 最重要的優點是它們不容易受到重放攻擊（replay attack）。這意味著管理記錄已用於登錄到服務或進行交易的 OTP 的潛在入侵者將無法濫用它，因為它將不再有效。第二個主要優點是，使用多個系統相同（或類似）密碼的用戶，如果其中一個密碼被攻擊者獲得，不是對所有的系統都容易變得脆弱。許多 OTP 系統也旨在確保會話不能輕易被截獲或沒有前一個會話期間產生不可預測數據的知識模擬，從而進一步減少攻擊面。

OTP 已被作為傳統密碼一個可能的替代以及增強方式討論。不利的是，OTP 人類難以記憶。因此，它們需要額外的技術來運作。

一般的靜態密碼在安全性上容易因為木馬與鍵盤側錄程式等而被竊取，而只要花上相當程度的時間，也有可能被暴力破解。為了解決一般密碼容易遭到破解情況，因此開發出一次性密碼的解決方案。

原理[编辑]

動態密碼的產生方式，主要是以時間差做為伺服器與密碼產生器的同步條件。在需要登錄的時候，就利用密碼產生器產生動態密碼，OTP一般分為計次使用以及計時使用兩種，計次使用的OTP產出後，可在不限時間內使用；計時使用的OTP則可設定密碼有效時間，從30秒到兩分鐘不等[1]，而OTP在進行認證之後即廢棄不用，下次認證必須使用新的密碼，增加了試圖不經授權存取有限制資源的難度。

取得方式[编辑]

• 

• 

  用於網路銀行交易的卡式令牌

特色[编辑]

• 解決使用者在記憶與保存密碼上的困難；
• 由於密碼只能使用一次，且是動態產生，難以預測，可以大為提升使用的安全程度。

• 一次性密碼多數需要手機號碼收取短訊；
• 收取方可能會有延遲或無法收取的問題。

參考文獻[编辑]

1. ^ Taiwan.CNET.com : 新聞專區 : 企業軟體 : 一次性密碼不敵網釣攻擊？. [2017-09-06]. （原始内容存档于2007-09-18）.

近年來簡訊行銷已經相當普及，人手一機甚至人手多機的情況下，不論是生日祝賀、促銷通知甚至重要訊息傳遞，我們都已經習慣簡訊的使用。

今天我們就來介紹一下何謂「OTP簡訊」：

首先，OTP(One Time Password)是指一次性密碼，又稱動態密碼或單次有效密碼，就是電腦系統中常用來進行二次驗證時所使用的密碼。而OTP簡訊就是透過簡訊的方式來發送二次驗證的密碼。

OTP簡訊經常使用在金融體系，若客戶在線上操作轉帳或匯款等重要交易時，銀行就會發送OTP簡訊給客戶，並提供一組臨時密碼供客戶在網頁上輸入進行驗證，如此便可確認客戶身份真實性，避免客戶遭到盜用乃至財物損失。

而OTP簡訊的概念除了使用在金融體系外，近年來也常使用在會員認證簡訊，在客戶註冊加入會員時，為了確保客戶所輸入的手機號碼是否正確，可發送一則認證簡訊給客戶，並提供一組驗證碼供客戶在網頁上輸入進行驗證，如此不僅可避免系統遭到假號碼惡意註冊，也可幫客戶檢查是否號碼輸入有誤，實在是相當有效益的簡訊。

下圖為常見的OTP簡訊&認證簡訊範例：

【更多簡訊資訊】

詮力科技: https://www.ite2.com
簡訊廣播站: https://sms.ite2.com/WebSms/default.aspx
ITE2 NAS: https://www.ite2nas.com
MMS多媒體簡訊: https://mms.ite2.com/

一次性密码（One Time Password，简称OTP），又称“一次性口令”，是指只能使用一次的密码。一次性密码是根据专门算法、每隔60秒生成一个不可预测的随机数字组合，iKEY一次性密码已在金融、电信、网游等领域被广泛应用，有效地保护了用户的安全。

中文名 一次性密码 外文名 One Time Password 别    名 一次性口令 简    称 OTP 优    点 安全性高 应    用 金融，电信，网游等

目录

1. 1 信息简介
2. 2 原理
3. 3 获取密码的方法

1. ▪ 文字短信
2. ▪ 智能手机
3. ▪ 特殊载具
4. ▪ 纸张

1. 4 优势
2. 5 挑选动态密码技术

一次性密码（英语：One Time Password，简称OTP），又称动态密码或单次有效密码，是指计算器系统或其他数字设备上只能使用一次的密码，有效期为只有一次登录会话或交易。OTP 避免了一些与传统基于（静态）密码认证相关系的缺点；一些实现还纳入了双因素认证，确保单次有效密码需要访问一个人有的某件事物（如内置 OTP 计算器的小钥匙挂件设备）以及一个人知道的某件事物（如 PIN）。 [1] 

相对于静态密码，OTP 最重要的优点是它们不容易受到重放攻击(replay attack)。这意味着管理记录已用于登录到服务或进行交易的 OTP 的潜在入侵者将无法滥用它，因为它将不再有效。第二个主要优点是，使用多个系统相同（或类似）密码的用户，如果其中一个密码被攻击者获得，不是对所有的系统都容易变得脆弱。许多 OTP 系统也旨在确保会话不能轻易被截获或没有前一个会话期间产生不可预测数据的知识模拟，从而进一步减少攻击面。

OTP 已被作为传统密码一个可能的替代以及增强方式讨论。不利的是，OTP 人类难以记忆。因此，它们需要额外的技术来运作。

一般的静态密码在安全性上容易因为木马与键盘侧录程序等而被窃取，而只要花上相当程度的时间，也有可能被暴力破解。为了解决一般密码容易遭到破解情况，因此开发出一次性密码的解决方案。

动态密码的产生方式，主要是以时间差作为服务器与密码产生器的同步条件。在需要登录的时候，就利用密码产生器产生动态密码，OTP一般分为计次使用以及计时使用两种，计次使用的OTP产出后，可在不限时间内使用；计时使用的OTP则可设置密码有效时间，从30秒到两分钟不等，而OTP在进行认证之后即废弃不用，下次认证必须使用新的密码，增加了试图不经授权访问有限制资源的难度。

一次性密码文字短信

由于文字短信是很普及可以接触到的技术，成为了动态密码传递的方式中最常见的一种方式。但由于移动网络传递短信时的安全性问题，这种方式对于中间人攻击的抗性较低。

一次性密码智能手机

对于有成本考量但希望获取较高安全性的公司，会规划使用在智能手机上安装移动应用程序产生动态密码。

一次性密码特殊载具

追求更高的安全性而可以接受较高的成本时，会使用独立的载具存放产生动态密码所需的密钥，避免被中间人攻击（文字短信）或是被透过移动设备的系统漏洞而获取密钥（智能手机）。因为载具独立而内置配有电池，因此会有寿命与回收的问题。

另外有折衷的方案是类似YubiKey使用USB供电，透过模拟USB键盘输入的方式，但由于与计算机有实体接触，安全性在严格的考量下不会与完全隔离的方案相同。

一次性密码纸张

在某些国家的在线银行系统会采用预印的方式提供一次性的密码。

动态密码的解决方案有以下几个优点：

1. 解决用户在密码的记忆与保存上的困难性。

2. 由于密码只能使用一次，而且因为是动态产生，所以不可预测，也只有一次的使用有效性，可以大为提升使用的安全程度。

基于这些优点，有越来越多的银行金融业甚至是游戏业使用OTP解决方案，来提升保护其用户的安全性。

以下供您参考，为组织选择适合的动态密码，同时支持两种密码器混合使用。

短信认证核心优点是费用低，无需携带、无需更换。 硬件令牌核心优点是在产品质量可靠情况下可以在任何地方进行接入办公。 [2] 

• 1    刘兆乾, 李进. 简述 “一次性密码” 身份验证[J]. 电脑知识与技术, 2010 (7X): 5426-5427.
• 2    蔡立军. 计算机网络安全技术[J]. 2002.