Trong bài viết này tôi xin khái quát định nghĩa OTP, cách nó hoạt động và thư viện hỗ trợ tạo – kiểm tra OTP. Rất thích hợp cho các bạn làm service trên .NET Core cần bảo mật 2 lớp.
1) Mã OTP là gì?
Chắc ai trong các bạn cũng biết được ứng dụng của mã OTP rồi. Mã OTP – One Time Password, được hiểu là mã chỉ dùng được một lần. Mã này sẽ có thời gian hiệu lực nhất định, thường là 30 giây đến 1 phút. Những đặc tính của OTP như sau:
- Mã này có thời gian hiệu lực ngắn
- Mã này thường là lớp mật khẩu cuối cùng
- Mã này được sinh ra dựa trên một mã bí mật và định danh người dùng kèm thời gian hệ thống
Mã này có thể được tạo ra bằng nhiều cách:
- SMS OTP: nhà quản lý thông tin cá nhân của bạn sẽ tạo ra mã này dựa trên thông tin đăng nhập (lớp 1) của bạn. Sau đó họ sẽ gửi SMS đến điện thoại của bạn đã đăng ký, nếu bạn nhập đúng thì bạn vượt qua lớp 2.
- Token: là một thiết bị độc lập có thể tự tạo ra mã OTP (đã được liên kết với tài khoản của bạn trước đó).
- Smart OTP: là một ứng dụng có thể cài đặt trên điện thoại (hoặc mọi thiết bị có hỗ trợ). Ứng dụng này cũng cần liên kết với tài khoản của bạn.
Việc liên kết ứng dụng (hay thiết bị) tạo OTP rất đơn giản nhưng cần giữ bí mật. Bạn chỉ cần quét mã QR được tạo ra bởi máy chủ quản lý thông tin của bạn 1 lần duy nhất.
Sau đó mã OTP sẽ được tạo mới định kỳ (sau 30 hoặc 60 giây). Nếu bạn mất điện thoại hoặc thiết bị tạo OTP đó là một hiểm họa cho bạn.
Hãy đổi ngay mật khẩu chính (lớp 1) nếu bạn mất điện thoại hoặc thiết bị tạo OTP (Token).
2) OTP hoạt động thế nào và tại sao cần nó?
Sử dụng OTP khác gì việc tài khoản của bạn có hai mật khẩu?
Bản chất là như nhau nhưng nguy cơ mất an toàn cao hơn nếu cả hai mật khẩu đều do bạn quản lý.
- Bạn phải nhớ 2 mật khẩu cho một tài khoản
- Thường các mật khẩu sẽ gắn với những thứ quanh bạn, nếu đoán được mật khẩu lớp 1, có thể đoán được lớp 2
- Nếu bạn để lộ cả 2 mật khẩu, nghĩa là bạn mất tài khoản (nguy cơ cao)
- Nếu bạn để lộ mật khẩu lớp 1 và OTP (lớp 2), thông thường bạn chỉ mất tài khoản trong 60 giây (nếu bạn phát hiện kiệp, kẻ gian có ít thời gian để kiệp đánh cắp tài khoản của bạn).
OTP được tạo ra dựa trên một mã bí mật (thường được tạo ngẫu nhiên chỉ thiết bị của bạn và máy chỉ biết), định danh tải khoản (như account id) và Time. Để tăng tính bảo mật, việc tạo mã bí mật cần thuật toán đặc biệt, it nhất là MD5 trên một chuỗi cực kỳ khó trùng lập.
Để liên kết ứng dụng tạo OTP (hoặc Token), bạn cần nhập 3 thông tin trên. Thường là liên kết bằng cách san Qr code. Sau khi đã liên kết, việc tạo mã OTP sẽ coi như là đồng bộ giữa thiết bị bạn giữ và trên máy chủ. Thế nên chúng hoạt động độc lập sau một lần đồng bộ duy nhất.
Giống như việc 2 người cùng đếm tốc độ đều nhau và đếm từ 0 thì họ sẽ đếm tới 10 cùng một lúc. Nếu 2 người không cùng dừng lại ở một số vào một thời điểm thì họ không thuộc một cặp với nhau. Dĩ nhiên việc tạo OTP phức tạo hơn như thế.
3) Cách tạo và kiểm tra mã OTP
Hôm nay tôi sẽ giới thiệu đến bạn thư việc giúp tạo mã OTP là OTP-Sharp.
PM> Install-Package OtpSharp
Với thư viện này bạn có thể dùng với 2 ngữ cảnh sau:
- Server side: dùng để tạo mã nếu bạn muốn send SMS OTP cho Client. Và dùng để verify OTP của Client. Ngoài ra còn tạo mã để Client có thể liên kết.
- Client side: dùng để tạo mã OTP cho Client (tương tự các ứng dụng hiện tại trên điện thoại)
Trong ứng dụng sau đây tôi có cả 2 ngữ cảnh trên.
#1 Trước tiên tôi tạo 1 ứng dụng trong thế này.
#2 Để tạo được một đối tượng OTP, bạn cần những thông tin sau đây:
- Secret key: mã bí mật của bạn, thường sẽ được sinh ra ngẫu nhiên bởi thuật toán
- Step: thời gian cho mỗi lần (Step) thay đổi OTP (thời gian hết hạn của OTP)
- Size: số ký tự cho mã OTP (chỉ hỗ trợ 6 hoặc 8)
public partial class MainWindow : Window { private Totp totp; // Store inputed info from user public OTPRequest OTPRequest { get; set; } = new OTPRequest(); // Store OTP info after generating public OTP OTP { get; set; } = new OTP(); // Support display QR image public Image QRCode { get; set; } public MainWindow() { InitializeComponent(); this.DataContext = this; } private void GenerateOTP() { // Reseting data this.OTP.Otp = ""; this.OTP.RemainingSeconds = 0; // Get key byte[] rfcKey = UTF8Encoding.ASCII.GetBytes(this.OTPRequest.SecretKey); // Generating TOTP this.totp = new Totp(rfcKey, this.OTPRequest.Step, OtpHashMode.Sha1, this.OTPRequest.Size); // Show OTP info on UI this.UpdateOTPInfo(); } private void UpdateOTPInfo() { this.OTP.Otp = this.totp.ComputeTotp(); this.OTP.RemainingSeconds = this.totp.RemainingSeconds(); } }
#3 Sau khi tạo được đối tượng OTP, bạn có thể lấy mã OTP, Url (nội dung của QR code, format của url này là chuẩn) để share cho Client (cũng là bí mật) và thời giạn còn lại (RemainingSeconds) cho Step hiện tại.
private void GenerateOTP() { // Reseting data this.OTP.Otp = ""; this.OTP.RemainingSeconds = 0; // Get key byte[] rfcKey = UTF8Encoding.ASCII.GetBytes(this.OTPRequest.SecretKey); // Generating TOTP this.totp = new Totp(rfcKey, this.OTPRequest.Step, OtpHashMode.Sha1, this.OTPRequest.Size); // Show OTP info on UI this.UpdateOTPInfo(); // Generate shared key (QR) string url = KeyUrl.GetTotpUrl(rfcKey, this.OTPRequest.SiteId, this.OTPRequest.Step, OtpHashMode.Sha1, this.OTPRequest.Size); this.LoadQr(url); } private void LoadQr(string url) { // downloading image string qrUrl = string.Format("http://qrcode.kaywa.com/img.php?s=4&d={0}", HttpUtility.UrlEncode(url)); Uri urlUri = new Uri(qrUrl); var request = WebRequest.CreateDefault(urlUri); // Rendering image Image image = new System.Windows.Controls.Image(); image.BeginInit(); image.Source = BitmapFrame.Create(request.GetResponse().GetResponseStream(), BitmapCreateOptions.None, BitmapCacheOption.OnLoad); image.EndInit(); // Show image on UI this.QRCode = image; } private void UpdateOTPInfo() { this.OTP.Otp = this.totp.ComputeTotp(); this.OTP.RemainingSeconds = this.totp.RemainingSeconds(); }
Trên ứng dụng Google Authenticator, bạn tiến hành scan QR code vừa được tạo ra là xong phần liên kết tài khoản.
#4 Để kiểm tra OTP của Client, bạn gọi hàm sau của đối tượng ‘totp’ có chung mã bí mật.
private void Verify(string otp) { if (string.IsNullOrWhiteSpace(otp)) { return; } long windowUsed; bool isValid = totp.VerifyTotp(otp, out windowUsed, new VerificationWindow(0, 0)); }
Trong đó đối tượng VerificationWindow có 2 thông tin quan trọng:
- Previous(n): là số step* (n) QUÁ KHỨ được chấp nhận. Vẫn chấp nhận nếu OTP hiện tại của Client trùng với OTP lần thứ ‘<= n’ trước đó. Trường hợp Client CHẬM hơn server.
- Future(m): là số step* (m) trong TƯƠNG LAI được chấp nhận. Trường hợp Client NHANH hơn server (m lần)
*Step: mỗi lần mã OTP thay đổi xem như 1 step. Step hiện tại trên Server được tính là 0. Nếu Server chấp nhận lệch 2 step ở quá khứ (Previous(2)) nghĩa là Client chỉ được chấp nhận khi cần nhiều nhất 2 lần thay đổi OTP nữa để đuổi kiệp step hiện tại trên Server (ví dụ step dừng lại đợi Client). Mục đích việc này là phòng khi tốc động mạng hoặc tốc dộ gửi/nhận SMS tới/tại Client có độ trễ lớn.
#5 Kết quả.
Toàn bộ code có trên GitHub.