反向 OTP 协议
该项目实现了一个反向 OTP(一次性密码)协议,旨在增强身份验证的安全性。与传统的 OTP 验证方式不同,该协议通过逆向验证流程来防止钓鱼攻击和中间人攻击,为用户的账户访问提供更可靠的保护机制。
背景速读
- [SYR-ROOT/syrot](https://github.com/SYR-ROOT/syrot) 是一个关于"反转一次性密码(OTP)协议"的概念验证项目。它探讨的是:如果服务器(而非客户端)被攻破,如何保护用户凭据。
- 传统 OTP(如 TOTP / HOTP)是客户端(用户设备)生成一次性密码,服务器验证。而"反转 OTP"将角色对调——服务器生成和验证一次性密码,客户端在登录时提交。这样即使服务器被入侵,攻击者也无法得到能长期使用的静态密码或种子密钥。
- 该项目更像一个安全思想实验或协议提案,而非成熟的工具。它属于密码学与身份验证领域的边缘探索,对关注"无密码"和"零信任"架构的技术读者有一定参考价值。
- 需要了解的前提:传统 OTP 依赖共享密钥(seed)存储在服务器和用户设备中,服务器被攻破则所有种子泄漏;"反转"方案试图消除这个风险。