通过 Java 生成 OTP

Question

我已经开发了以下程序来生成 OTP（一次性密码），现在请告知我是否可以在 OTP 上下文中使用其他更好和安全的方法

// Java code to explain how to generate OTP

// Here we are using random() method of util
// class in Java
import java.util.*;

public class NewClass
{
    static char[] OTP(int len)
    {
        System.out.println("Generating OTP using random() : ");
        System.out.print("You OTP is : ");

        // Using numeric values
        String numbers = "0123456789";

        // Using random method
        Random rndm_method = new Random();

        char[] otp = new char[len];

        for (int i = 0; i < len; i++)
        {
            // Use of charAt() method : to get character value
            // Use of nextInt() as it is scanning the value as int
            otp[i] =
             numbers.charAt(rndm_method.nextInt(numbers.length()));
        }
        return otp;
    }
    public static void main(String[] args)
    {
        int length = 4;
        System.out.println(OTP(length));
    }
}

Answer 1

正如评论指出的那样，一次性密码只是一个随机数或字符串。

查看您的代码，您正在使用Random 类。这对于随机序列的质量在很大程度上无关紧要的应用程序来说很好。然而，Random 的标准实现会产生一个高度可预测（自相关）的数字序列；见https://stackoverflow.com/a/38345694/139985。你应该改用SecureRandom。

我怀疑您使用nextInt(numbers.length()) 会放大自相关...所以如果您继续使用Random，Samwell 的建议会有所帮助。

Answer 2

使用 Java 8+，以下代码将生成 4 位 OTP。只需将 random.ints(...) 方法中的 4 替换为 OTP 中所需的位数即可。

编辑： 我读到 SecureRandom 是另一个生成随机数的类（提供额外的安全性）。如果您愿意，可以根据需要使用它，而不是旧的 Random 类。

...    
import java.util.Random;
//Or
//import java.security.SecureRandom;
...

Random random = new Random();
//Or
//SecureRandom random = new SecureRandom();

random.ints(4, 0, 10).mapToObj(Integer::toString).reduce((a, b) -> a + b)
    .ifPresent(System.out::println);

如果您想将值转换为字符串而不是仅仅打印它：

String otp = random.ints(4, 0, 10).mapToObj(Integer::toString)
    .reduce((a, b) -> a + b).get(); 

Answer 3

OTP 只是一个固定长度的随机文本。它可以通过一行代码来实现（使用UUID）。请参见下面的示例，该示例生成 4 个字符的 OTP。

UUID.randomUUID().toString().substring(0, 4)