OTP ጀነሬተር (TOTP/HOTP)

የOTP ጀነሬተሩ እንዴት እንደሚሰራ

መሣሪያው ምን ያደርጋል

ይህ የOTP ጀነሬተር ከGoogle Authenticator፣ Authy እና ሌሎች የ2FA መተግበሪያዎች ጋር የሚስማሙ በጊዜ ላይ የተመሠረቱ አንድ-ጊዜ የይለፍ ቃላት (TOTP) እና በHMAC ላይ የተመሠረቱ አንድ-ጊዜ የይለፍ ቃላት (HOTP) ይፈጥራል። የBase32 ሚስጥር ቁልፍ ያስገቡ ወይም ያመነጩ፣ እና መሳሪያው ለTOTP በየ30 ወይም 60 ሰከንድ የሚቀየሩ 6-8 አሃዝ ኮዶችን ያመነጫል፣ ለHOTP ደግሞ ከቆጣሪ ጋር የሚጨምሩ ናቸው። ሁሉም ሂሳቦች በWeb Crypto API በመጠቀም በአሳሽዎ ውስጥ በአካባቢው ይሰራሉ፣ ስለዚህ ሚስጥርዎ ከመሣሪያዎ አይወጣም።

የተለመዱ የገንቢ አጠቃቀም ሁኔታዎች

ገንቢዎች የመስመር ላይ TOTP ጀነሬተርን የሁለት-ደረጃ ማረጋገጫ ትግበራዎችን ለመፈተሽ፣ የOTP ላይብረሪዎቻቸው ትክክለኛ ኮዶችን እንደሚያመነጩ ለማረጋገጥ እና የማረጋገጫ ፍሰቶችን ለማስተካከል ይጠቀማሉ። የ2FA ስርዓት ሲገነቡ ይህን መሳሪያ የሙከራ ሚስጥሮችን ለማመንጨት፣ የሰርቨር-ጎን TOTP ትግበራዎን ለማረጋገጥ እና የጊዜ ማስማማት ትክክል መሆኑን ለማረጋገጥ መጠቀም ይችላሉ። እንዲሁም QA ቡድኖች በመሣሪያዎቻቸው ላይ የአስማሚ መተግበሪያዎችን ሳይጭኑ የ2FA የስራ ፍሰቶችን እንዲያረጋግጡ ይረዳቸዋል።

የውሂብ ቅርጸቶች እና መስፈርቶች

የOTP መሳሪያው RFC 6238 (TOTP) እና RFC 4226 (HOTP) መስፈርቶችን ይተግብራል። ሚስጥር ቁልፎች Base32 ኢንኮዲንግ ይጠቀማሉ፣ ይህም ለአስማሚ መተግበሪያዎች መደበኛ ቅርጸት ነው። መሳሪያው SHA-1 (ነባሪ፣ በጣም ተስማሚ)፣ SHA-256 እና SHA-512 የሃሽ አልጎርይዝሞችን ይደግፋል። የውጤት ኮዶች 6፣ 7 ወይም 8 አሃዝ ሊሆኑ ይችላሉ፣ 6 ግን በጣም የተለመደው ነው። የOTP Auth URI ቅርጸት (otpauth://totp/...) ከGoogle Authenticator እና ተመሳሳይ መተግበሪያዎች ጋር ተስማሚ ነው።

የተለመዱ ስህተቶች እና የጠርዝ ሁኔታዎች

የTOTP ኮዶች በጣም ጊዜ-ተጋላጭ ናቸው። የሰርቨርዎ እና የደንበኛው ሰዓት ከ30 ሰከንድ በላይ ካልተስማማ ማረጋገጫ ይከሽፋል። አብዛኛዎቹ ትግበራዎች አነስተኛ መንሸራተትን ለመቋቋም የ1-2 የጊዜ እርምጃ መስኮት ይፈቅዳሉ። SHA-1 በጣም በሰፊው የሚደገፍ አልጎርይዝም ነው፤ አንዳንድ አሮጌ የአስማሚ መተግበሪያዎች SHA-256 ወይም SHA-512 ላይደግፉ ይችላሉ። ሚስጥር ቁልፍዎ በትክክል Base32 መሆኑን ያረጋግጡ—ልክ ያልሆኑ ቁምፊዎች የመፍታት ስህተቶችን ያስከትላሉ።

ይህን መሣሪያ ከኮድ ጋር መቼ መጠቀም እንደሚገባ

በልማት ወቅት የ2FA ትግበራዎን ለመፈተሽ፣ ለማስተካከል እና ለማረጋገጥ ይህን የOTP ጀነሬተር ይጠቀሙ። ለምርት ስርዓቶች የOTP ኮዶችን በሰርቨርዎ ላይ በታመኑ ላይብረሪዎች እንደ pyotp (Python)፣ speakeasy (Node.js) ወይም GoogleAuthenticator (በተለያዩ ቋንቋዎች) በመጠቀም ያመነጩ እና ያረጋግጡ። ሚስጥር ቁልፎችን በደንበኛ-ጎን ኮድ ውስጥ በፍጹም አታጋልጡ። ይህ መሳሪያ ለልማት የስራ ፍሰቶች ተስማሚ ነው፣ ነገር ግን መተግበሪያዎ የOTP ማረጋገጫን በሰርቨር-ጎን መያዝ አለበት።