OTP誰發明的?揭開一次性密碼的歷史與演進

Byadmin

各位朋友,大家好!最近在網路上閒逛,或是跟朋友聊天,是不是常常聽到「OTP」這個詞?尤其是在登入帳號、進行交易的時候,手機會收到一串數字,那玩意兒就是「一次性密碼」的縮寫。可是,有沒有人跟我一樣,心裡閃過一個念頭:「OTP到底是誰發明的啊?」 這個問題聽起來好像有點基礎,但仔細一想,它可是關係到我們網路安全的一大步呢!今天,咱們就來好好聊聊,這個看似簡單,卻又至關重要的 OTP,它的背後,究竟是誰的智慧結晶。

簡而言之,OTP,也就是「一次性密碼」(One-Time Password),它的發明並不是由單一一個人或一個機構在某個特定時間點「突然」冒出來的。它更像是多年來密碼學、通訊技術和資訊安全領域不斷發展、演進的結果,許多不同的概念和技術巧妙地結合,最終才成就了我們今天所熟知的 OTP 系統。要追溯 OTP 的「發明者」,我們得把時間拉回到更早的時期,看看那些奠定基礎的關鍵思想。

追溯 OTP 的起源:從根本概念談起

要理解 OTP 的發明,我們先得弄懂它背後的幾個核心概念。OTP 的最大特點就是「一次性」,也就是說,你剛剛用過的密碼,下次就作廢了。這跟我們以前那種記住一個密碼用到底的方式,有著天壤之別。這種「時效性」和「唯一性」,是 OTP 安全性的基石。

1. 密碼學的演進: 說到安全,當然不能不提密碼學。從古老的凱撒密碼,到後來的維吉尼亞密碼,再到現代的公鑰加密、私鑰加密,密碼學的發展一直是保障資訊安全的根本。OTP 的誕生,離不開這些密碼學理論的累積。

2. 挑戰與需求: 隨著網際網路的普及,傳統的「靜態密碼」(Static Password) 顯然已經不敷使用了。大家還記得以前輸入一個帳號密碼,就可以登入所有服務的日子嗎?那時候的資料洩漏風險,可說是相當高。為了應對日益嚴峻的網路詐騙和資訊竊盜,尋找一種更安全的驗證方式,就成了迫切的需求。這就像是,當老舊的門鎖越來越容易被撬開,我們自然就會想辦法去發明更堅固、更難以複製的鎖。

3. 認證技術的探索: 在 OTP 出現之前,業界也嘗試過各種不同的認證技術,例如「智慧卡」(Smart Card)、「生物辨識」(Biometrics) 等等。這些技術各有優勢,但同時也存在著成本、普及度、使用者體驗等方面的考量。OTP 的出現,提供了一種相對平衡的解決方案,它既能大幅提升安全性,又相對容易普及和使用。

「一次性密碼」概念的雛形

雖然我們現在看到的 OTP 系統,大多是在 20 世紀末或 21 世紀初才逐漸成熟和普及,但「一次性密碼」的這個概念,其實有更早的淵源。

一個重要的思想來源,可以追溯到「一次性密碼本」(One-Time Pad,簡稱 OTP) 這個概念。 聽起來是不是很像?沒錯,兩者名稱非常接近,而且在理論上,一次性密碼本是「絕對安全」的加密方法。一次性密碼本的使用方式是:發送方和接收方事先共享一個隨機產生的、與明文長度相同的密鑰(密碼本),然後將明文與密鑰進行異或 (XOR) 運算,得到密文。接收方收到密文後,再用相同的密鑰進行異或運算,就能還原出明文。只要這個密鑰是真正隨機的、只使用一次,並且安全地傳輸給接收方,那麼這種加密就是不可破解的。

「一次性密碼本」的理論安全性,在克勞德·香農 (Claude Shannon) 的研究中得到了嚴格的數學證明。

然而,一次性密碼本在實際應用上,面臨著巨大的挑戰,最主要的兩個問題就是:

  • 密鑰的產生與管理: 如何安全地產生大量、真正隨機的密鑰?
  • 密鑰的傳輸: 如何安全地將這麼長的密鑰傳遞給接收方?

這兩個問題,在沒有現代化通訊和計算能力的情況下,幾乎是難以克服的。試想一下,如果你要跟遠方的朋友通信,得先用郵寄的方式,親手交給他一大疊厚厚的、隨機的紙條,然後你們才能開始通信,這顯然是不切實際的。正因為這些實際操作上的困難,一次性密碼本更多地出現在理論探討和一些極端機密性的通訊場合。

但是,一次性密碼本的核心思想——「使用一次就拋棄」——卻為後來的「一次性密碼」(OTP) 提供了重要的啟示。 OTP 系統,可以看作是對一次性密碼本在實際應用中可行性的一種「妥協」和「優化」。它雖然無法達到理論上的絕對安全,但在實用性和安全性之間取得了一個非常好的平衡。

電子時代的 OTP:技術的融合與發展

進入電子時代,特別是網際網路興起後,對更安全、更方便的身份驗證方式的需求日益迫切。這促使了許多技術的融合,最終形成了我們今天看到的 OTP 系統。

1. 挑戰-響應機制 (Challenge-Response Authentication): 在 OTP 廣泛應用之前,有一種叫做「挑戰-響應」的認證機制。它的原理是:系統(伺服器)發出一個「挑戰」(Challenge),通常是一個隨機數或一些數據;用戶端(用戶的設備)接收到挑戰後,利用一個共享的秘密(例如,使用者帳號和密碼組合,或者一個設備綁定的密鑰)和挑戰,通過一個特定的演算法(通常是雜湊函數或加密演算法)產生一個「響應」(Response);伺服器收到響應後,用同樣的演算法和共享秘密來驗證響應是否正確。如果正確,就認為用戶身份合法。

這個挑戰-響應機制,是 OTP 技術的直接前身。它解決了「靜態密碼」易被竊聽或離線破解的問題,因為每次的挑戰都不同,產生的響應自然也不同。然而,這種機制可能需要在使用者端安裝特定的軟體,或者需要與硬體設備結合,在普及度和便利性上還有提升空間。

2. 數位時間同步 (Time Synchronization): 隨著計算機技術和網路的發展,精確的時間同步變得越來越可行。這為另一種重要的 OTP 產生方式——「基於時間的 OTP」(Time-based One-Time Password, TOTP) 提供了基礎。TOTP 的核心思想是,密碼的產生與一個共享的「祕鑰」以及當前的「時間」有關。系統和用戶端的設備(例如手機 App)都預先安裝好同一個祕鑰,並且雙方的時鐘保持同步(或在一定誤差範圍內)。密碼的產生演算法會將祕鑰和當前時間(通常是按秒或分鐘為單位)進行計算,生成一個短暫有效的密碼。

TOTP 的運作流程大致如下:

  1. 初始設定: 系統與用戶端設備(如 Google Authenticator、Authy App)共享一個「祕鑰」(Secret Key) 和一個「時間步長」(Time Step),例如 30 秒。
  2. 密碼產生: 到了新的時間步長,用戶端設備會將這個祕鑰和當前時間(經過計算)一起輸入到一個演算法(例如 HMAC-SHA1)中,生成一個數字序列,並將其截取成一個短的數字密碼(例如 6 位數)。
  3. 驗證: 用戶在需要驗證時,將這個生成的 OTP 輸入到系統中。系統也會使用相同的祕鑰和時間步長,在自己的時間軸上計算出預期的 OTP。
  4. 比對: 系統將用戶輸入的 OTP 與自己計算出的 OTP 進行比對。由於時鐘可能會有微小的誤差,系統通常會允許一個小範圍的時間窗口,例如允許前一個時間步長和當前時間步長的 OTP 都被接受。

TOTP 的優點是,它不需要即時的網路連線就能產生密碼,大大提升了行動裝置的使用便利性。它也是目前最常見的 OTP 類型之一,像是許多銀行、社群媒體、電子郵件服務都廣泛採用。

3. 事件計數同步 (Event-based Synchronization): 除了基於時間,還有另一種 OTP 產生方式是「基於事件的 OTP」(Event-based One-Time Password, HOTP)。它的原理是,密碼的產生與一個共享的「祕鑰」以及一個不斷遞增的「計數器」(Counter) 有關。每次驗證成功後,計數器就會遞增。如果驗證失敗,計數器則保持不變,或者允許一定的重試次數。HOTP 的優點是,它不需要依賴精確的時間同步,對於網路不穩定的環境可能更為適用。

HOTP 的運作流程:

  1. 初始設定: 系統與用戶端設備共享一個「祕鑰」(Secret Key) 和一個起始「計數器」(Counter),例如 0。
  2. 密碼產生: 用戶端設備將祕鑰和當前計數器的值一起輸入到一個演算法中,生成一個數字序列,並將其截取成一個短的數字密碼。
  3. 驗證: 用戶將生成的 OTP 輸入到系統中。系統也會使用相同的祕鑰和計數器來計算預期的 OTP。
  4. 計數器更新: 如果驗證成功,系統和用戶端設備都會將計數器加一。

HOTP 在一些硬體 Token 設備上比較常見,但相對 TOTP 來說,在一般消費者的手機 App 應用上可能較少直接見到,因為需要確保計數器的同步,否則容易出現驗證失敗的情況。

「誰發明了 OTP?」這個問題的精確答案

回到最初的問題:「OTP 誰發明的?」

如果我們指的是「一次性密碼本」這個理論概念,那麼其基礎可以追溯到 20 世紀中期,特別是克勞德·香農 (Claude Shannon) 在 1949 年發表的論文《A Mathematical Theory of Cryptography》,他闡述了理論上 OTP 的不可破解性。

但如果我們指的是實際應用中,大家現在手機裡收到的、或 App 裡生成的「一次性密碼」(One-Time Password),那麼它是一個集合了多種技術和理念的產物,並非由單一發明者獨力完成。更精確地說,OTP 技術的發展,是由多位研究者和工程師在不同時間、不同領域的貢獻所促成的。

值得一提的是,OTP 的演進過程中,有幾個關鍵的推動者和標準制定者:

  • OATH (Initiative for Open Authentication): 雖然 OATH 並非「發明」了 OTP,但它是一個重要的標準組織,致力於推動開放的、基於標準的認證技術。OATH 制定並推廣了 HOTP 和 TOTP 的演算法標準(RFC 4226 和 RFC 6238),極大地促進了 OTP 技術的普及和互通性。可以說,OATH 的標準化工作,讓 OTP 從眾多技術方案中脫穎而出,成為業界廣泛採用的安全驗證方式。
  • IETF (Internet Engineering Task Force): IETF 是網際網路領域重要的標準化組織,他們也制定了許多與 OTP 相關的 RFC 文件,確保 OTP 在網際網路上的安全應用。

所以,當我們問「OTP 誰發明的?」時,與其尋找一個名字,不如理解它是一個「演進」的過程。它吸收了早期密碼學的理論,解決了實際應用中的挑戰,並在標準化組織的推動下,最終發展成為我們今天所熟知、並且廣泛使用的安全驗證工具。

OTP 的實際應用場景

現在,OTP 已經深入我們生活的方方面面,成為不可或缺的安全措施。以下是一些常見的 OTP 應用場景:

常見的 OTP 應用

  • 網路銀行與金融交易: 這是 OTP 最常見的應用之一。無論是登入網路銀行、轉帳匯款、修改個人資料,都需要輸入 OTP 來確保是本人操作。
  • 電子商務: 在進行線上購物,特別是高價值的交易時,賣家通常會要求輸入 OTP 來驗證您的身份。
  • 電子郵件與社交媒體: 為了防止帳號被盜用,許多服務都會提供「兩步驟驗證」(Two-Factor Authentication, 2FA) 或「多因素驗證」(Multi-Factor Authentication, MFA),而 OTP 就是其中非常重要的一環。
  • 遠端存取與 VPN: 許多公司允許員工遠端存取公司內部網路,這時 OTP 就會被用來加強遠端登入的安全性。
  • 遊戲帳號安全: 一些熱門的線上遊戲也會導入 OTP 機制,保護玩家寶貴的虛擬資產。

關於 OTP 的常見疑問與解答

關於 OTP,相信大家一定還有不少疑問。我來幫大家整理一下,並做個詳細的解答。

為什麼 OTP 這麼重要?

OTP 之所以重要,關鍵在於它能有效提升帳號的安全性,降低被盜用的風險。傳統的「知識型驗證」(Knowledge Factor),也就是我們自己設定的密碼,是最容易被破解或竊取的。攻擊者可能透過釣魚網站、惡意軟體、甚至是暴力破解等方式,來獲取您的靜態密碼。而 OTP 引入了「持有型驗證」(Possession Factor),例如您隨身攜帶的手機,或是硬體 Token。攻擊者即使知道您的密碼,沒有您的手機或 Token,也無法完成驗證。這種「兩步驟」或「多步驟」的驗證方式,大大增加了攻擊者的難度,從而保護了您的個人資訊和財產安全。

OTP 真的百分之百安全嗎?

雖然 OTP 大幅提升了安全性,但我們也必須承認,沒有任何系統是絕對百分之百安全的。OTP 系統本身也可能面臨一些潛在的風險,例如:

  • SIM 卡詐騙 (SIM Swapping): 這是目前最常見的 OTP 攻擊手法之一。攻擊者會透過欺騙電信公司,將您的手機門號轉移到他們控制的 SIM 卡上。這樣一來,原本應該發送到您手機上的 OTP 短信,就會被攔截到攻擊者的手機裡。
  • 惡意軟體: 如果您的手機中毒,惡意軟體有可能會讀取手機裡的 OTP 訊息,或是攔截您輸入的 OTP。
  • 釣魚簡訊或連結: 攻擊者可能會發送看似來自銀行或服務提供商的詐騙簡訊,誘騙您點擊連結,並在假冒的網站上輸入您的帳號、密碼以及 OTP。
  • 社交工程: 攻擊者可能會透過電話或其他方式,冒充客服人員,誘騙您說出 OTP。

因此,在使用 OTP 的同時,我們也需要保持警覺,不要隨意點擊不明連結,不要向任何人透露 OTP,並確保您的設備安全。簡單來說,OTP 是強力的盾牌,但我們也要學會如何正確地使用它。

TOTP 和 HOTP 哪種比較好?

這兩種方式各有優勢,沒有絕對的「比較好」,而是取決於應用場景和需求。

  • TOTP (Time-based): 最大的優勢是它的便利性,不需要伺服器和用戶端之間進行額外的計數器同步,只要時鐘差異不大,就能順利產生密碼。這使得它非常適合用於手機 App 驗證,因為 App 可以自行管理時間,並在離線狀態下產生密碼。
  • HOTP (Event-based): 它的優勢在於不需要精確的時間同步,對於網路連接不穩定,或者有計數器同步問題的場景(例如某些硬體 Token)來說,會更為穩定。

目前,TOTP 在消費級應用中最為普及,因為它提供了最佳的便利性和安全性組合。

我收到的 OTP 短信,是誰發送的?

您收到的 OTP 短信,通常是由您所使用的服務提供商(例如銀行、電商平台、社群媒體)透過他們的合作電信業者發送的。這些短信通常會包含服務提供商的名稱,以幫助您辨識。不過,由於 SIM 卡詐騙的風險,即使短信看起來正規,也請務必提高警覺,確認發送來源是否為您預期的服務。

如果我把 OTP 記錯了,怎麼辦?

這其實是個常見的誤會。OTP 的設計原則就是「一次性」使用。您剛剛看到的 OTP,只能在它有效期間內使用一次。如果您在輸入時按錯了,或是沒有及時輸入而導致它過期,那麼您就需要重新申請一個新的 OTP。通常,在輸入欄位旁邊會有一個「重新發送」或「獲取新驗證碼」的按鈕,點擊後系統就會重新產生一個新的 OTP 給您。

總結來說,OTP 的發明是一個漫長且多方參與的演進過程,它承載了密碼學的理論基礎,並透過技術的進步,發展出我們今天所依賴的安全驗證機制。雖然沒有單一的「發明者」,但無數的貢獻者共同塑造了 OTP 的現在,為我們的數位生活築起了一道重要的安全屏障。

發佈留言