定义
OTP(One-Time Password,一次性密码)是仅能使用一次、通常有时效(如 5 分钟)的验证码,用于身份验证、登录确认、支付确认等场景。OTP 通过 SMS Gateway 以 A2P 短信发送,或通过邮件、Authenticator 应用下发,与 2FA 双因素认证配合,显著增强账户与交易安全。
应用场景
OTP 在 ICMP 中的典型应用:登录验证——2FA 双因素认证,用户输入密码后需再输入 OTP;敏感操作——API Key 创建、权限变更、大额支付等需 OTP 确认;密码重置——验证用户身份后发送 OTP,完成重置;设备绑定——新设备首次登录时 OTP 验证。OTP 通过 SMS Gateway 发送时,属于 A2P 短信,需确保通道合规与送达率。
技术实现
OTP 常见实现:TOTP(Time-based OTP)——基于时间与密钥生成,如 Google Authenticator;HOTP(HMAC-based OTP)——基于计数器;SMS OTP——通过 SMS Gateway 发送随机码。SMS OTP 依赖网络与短信通道,可能延迟或被拦截;TOTP 无需网络,但需用户预先绑定 Authenticator。平台可同时支持多种方式,满足不同客户偏好。
在 ICMP 中的实践
达希物联 ICMP 支持 OTP 验证:IAM 登录、敏感操作可配置 2FA;通过 SMS Gateway 发送 SMS OTP;支持 TOTP Authenticator 绑定;Audit Trail 记录 OTP 验证事件,满足 PCI DSS、GDPR 等合规要求。