密码无处不在，但却出了名的弱。因此需要新的工具和技术来减少或减轻账户被接管（ATO）的风险。OTP动态口令身份认证的主要目的就是要确保该用户的身份足够可信。现在，最常见的方法是通过增加某种认证令牌来提供MFA多因素认证。

 

令牌与其他因素结合提供MFA

 

OTP（One-time Password）一次性密码，也称为动态口令、动态密码，是根据专门的算法每隔30秒或60秒生成的随机数字组合，每个动态口令只能使用一次。

 

OTP动态口令是一种非常安全便捷、效果立竿见影的账号防盗技术，可以有效保护 Exchange Outlook 邮箱、Office365、堡垒机、服务器、数据库、VPN、云桌面等应用登录认证安全。采用OTP 动态口令后，用户就无需再定期修改密码，企业管理密码的成本也相应降低，安全省心，且成本也不高。

 

用来生成OTP 动态口令的终端/设备被称为动态令牌，常见的有硬件令牌、手机APP令牌、短信令牌、邮件令牌、H5令牌、小程序令牌等等，如下图所示：

 

● 硬件令牌：内置“种子”，自动生成6位数OTP动态密码，防暴力拆解，须随身携带；

● 手机APP令牌：安装在手机里的APP应用，须激活后才可生成动态口令；

● 短信令牌：短信验证码形式，企业须购买短信包（或称为短信网关、短信通道）；

● 邮件令牌：通过邮件发送动态密码；

● 小程序令牌：微信小程序里找到宁盾令牌小程序，查看动态密码，也需要激活后使用；

● H5令牌：嵌入在企业微信、飞书、钉钉、WeLink等工具的工作台中，无需安装派发和激活，上线就能用。

 

除以上令牌形式外，还有其他多种形式，比如生物识别、推送认证等等，但本文只围绕OTP来说，若对其他形式感兴趣可自行搜索。

 

那么，OTP 动态口令可以用在什么地方呢？一般是公司采购，内部使用。比如Exchange Outlook邮箱，各种品牌的VPN，云桌面、虚拟桌面，Office 365、SAP等业务系统，企业内网登录入口，以及数据中心（IDC机房）基础设施的登录保护，堡垒机、服务器、交换机、数据库等等。配置了OTP动态口令认证系统后，在登录以上应用的时候用户就需要在输入完账号和密码后，再次输入动态密码才能校验成功，放行。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解更多内容，可前往宁盾官网博客解锁更多干货）