问一次人类密码算法

EN

您可以有一个查找表，就像一个时间垫。

查找书中的每一页都是一天的OTP值，您可以在当前日期/时间上查找这本书，以便在这一时刻得到正确的OTP。这模拟了一个TOTP。您可以在安全性( TOTP更改的频率)和查找簿的厚度之间进行权衡。

史蒂夫·吉布森( Steve )把一个叫做“完美纸密码”的东西拼凑在一起，作为如何做到这一点的示范。https://www.grc.com/ppp为您提供详细信息。该站点有可下载的代码，可用于构建一个更复杂的实现。

这不是基于时间的，而只是一系列的一次性密码，只能按顺序使用。即使当前密码被监听，它也不提供有关下一个密码的信息。每个密码的字符数和“字母表”是可调的。

这里我们看到代码1A-D已经被使用，接下来要使用的代码是E1 (Tygq)。

老实说，即使是官方的TOTP算法也不是非常复杂，尽管您必须非常专注于计算头脑中的HMAC。但是，这确实表明您可以使用大多数相同的构建块，合理地使用基于时间的计算密码系统。

主要的问题是人们在很多事情上不如电脑好：

• 人们没有内置的时间源，所以你需要足够的灵活性来处理某个人从源头“走出”的合理时间。从最小化计算错误的角度来看，你可能不能指望某人在正确的时间内超过5分钟，甚至更长的时间可能更好。
• 人们计算速度慢。您可以依靠计算机在一秒钟内执行数以百万计的计算。一个人一旦得到了所需的值，很可能就能处理一次计算。这也意味着您需要为某人输入一个有效值留出更长的时间。
• 人们在重复操作时会犯错误。这意味着，如果他们在过程中犯了一个错误，那么他们更有可能需要输入多个值。每次尝试都需要一定的时间。

因此，直接调整TOTP算法将涉及：

1. 用一般人能做的事情代替HMAC步骤
2. 定义一个时代，人类可以计算出与精神上的不同--也许是今天的午夜，并进行一些基于日期的修改。
3. 定义一个足够长的间隔，使一个人都能够在其中执行某些计算，并且可以识别为从所选的时代起的给定的间隔--5分钟是可行的，因此在0912处计算代码的值为(9*12 + 2*5 = 118 )
4. 使用HMAC替换值和记忆键。
5. 将值转换为适当的范围，可能会丢弃其中的位。

这将不如基于计算机的计算机安全，因为攻击者将能够快速计算许多潜在值，因此您还需要限制在给定时间间隔内允许多少次尝试。

不，我不知道什么是合适的HMAC替代品.