题外话：此篇隶属于理论计算机(TCS)系列。

昨天，RSA实验室的首席科学家Burt Kaliski（同时也是副总裁）给我们做了一个讲座，关于最新的One-Time Password的一些应用。开始讲的时候还不觉得有啥，后来想了一下，这玩艺儿还是挺有用的，怪不得RSA Lab对之这么看重。

One-Time Password，就是给用户端一个Token（可以是一个小电子设备的形式），与服务器段共享了一个seed，利用这个seed，双方在相同时间能产生一个相同的password（比如使用hash函数处理seed + time——hash函数介绍见从hash函数到王小云的MD5破解），用户利用Token生成的密码登录服务器，服务器进行对比验证。

目前密码体系的不安全之处在于数据传输可能被监听，用户客户端可能存在木马，用户可能随手写下密码造成密码泄露等等。而利用上面的One-Time Password，即使这个密码被人非法获取，也不会造成损失。所以，这玩艺儿在银行的密码管理中是非常有用的，听说有银行已经开始使用此类技术。

Burt Kaliski此次讲座讲了One-Time Password的四个应用：

• How to authenticate to a laptop computer with an OTP token --- without storing long-term secrets on the computer
• How to use the same token to authenticate to multiple servers --- without sharing secrets among the servers or relying on a third party
• How to set up a strong, shared key between parties that only share a short OTP value
• How to protect OTPs against malware and MITM attacks

这些比较技术化，不详述。

关于RSA实验室：RSA即鼎鼎有名的RSA公钥密码体系，在密码界举足轻重。讲座完毕之后，有人问起RSA的前途，Burt说RSA公钥密码体系已经发明30年了，估计还能用30年，因为估计30年后量子计算机已经有所突破（量子计算机下，RSA公钥密码体系所依赖的大数分解已经被证明是不安全的）。

记得Yao以前也多次提到，在未来15到20年，量子计算机必有所突破，是将来的大热门啊。也许我也应该去玩这个。

参考：

• RSA Lab上的One-Time Password主页
• 2nd Trustworthy Interfaces for Passwords and Personal Information Workshop