一次性密码(OTP)是使用一次即失效的临时凭证。与固定密码不同,泄露的 OTP 无法被重复利用,能有效抵御撞库攻击和钓鱼攻击。
OTP 主要有两种方案:TOTP(基于时间的一次性密码)每 30 秒根据密钥和当前时间生成 6 位数字码;HOTP(基于计数器的一次性密码)则使用计数器代替时间。目前 TOTP 是主流方案。
二维码在 TOTP 初始设置中扮演关键角色。服务端将密钥编码为 otpauth://totp/... URI 并显示为二维码,用户用认证应用扫码即可完成密钥注册,无需手动输入 32 位字符串。这种基于二维码的设置方式极大地推动了双因素认证的普及。