一次性密码（不要与“一次性密码”混淆，这是一种理论上完美但实际上重量级的加密技术）是一个合理的概念，就其本身而言，不能弃用。它只是意味着：给定的密码（即证明者和验证者之间共享的秘密值，用于身份验证）只能与验证者一起使用一次；换句话说，如果验证者（例如，您要登录的服务器）接受密码，但会拒绝使用相同密码的任何进一步尝试，则它是一次性密码。

一次性密码方案是使用一次性密码概念并为双方（证明者和验证者）建立规则和机制以实际共享一次性密码的系统。任何给定的方案都可以是弱的或强的，被破坏的，被弃用的……但这个概念没有受到伤害。

RSA SecurID令牌可以被视为一次性密码概念的化身——实际上是一种带有时钟的变体——而且它们非常活跃。

HOTP是一种免费且开放的一次性密码生成标准（带有内部计数器），可以通过极其便宜的硬件令牌来实现。

（传统的 Unix 服务器一次性密码验证方案使用软件生成密码列表，用户应该打印并保存在钱包中，删除使用过的密码。这从未流行过——我想它技术含量太低了; 用户不会惊讶地忘记摆弄有形物体的不便）。

一次性密码（由 RSA SecurID 或其他供应商实施）在理论上是安全的，但与所有安全控制一样，在设计安全系统时必须考虑这些限制。

OTP 实现可能存在允许规避它们的实现或设计缺陷。

OTP 可以通过木马或 XSS 攻击的中介被攻击者拦截和使用，例如在身份验证阶段（由于另一方正在使用您新输入的 OTP，因此通常对您作为用户明显拒绝服务，从而使其无效）。

最重要的是，OTP 系统通常限制自己对用户进行身份验证，而不是对交易进行身份验证。一旦用户通过身份验证，特洛伊木马可能会重新使用您与银行的经过身份验证的 Web 会话，例如以偷偷摸摸的方式代表您执行交易。

尽管我认为 OTP 仍然有一个光明的未来，但它们将通过进一步的安全控制得到增强，特别是将越来越多地尝试解决交易身份验证问题，而不是仅限于对用户进行身份验证。

一次性密码是进行两因素身份验证的一种概念。用户知道的东西（密码）和用户拥有的东西（OTP 生成器）。

一次性密码是所有权的证明。在这种情况下，“所有权证明”的工作方式如下：

一次性密码是由诸如 HOTP (RFC4226) 或 TOTP (RFC6238) 之类的算法生成的，该算法基于秘密密钥和一些移动因素。用户只有在拥有密钥的情况下才能出示正确的一次性密码。

这就是为什么您应该注意这个密钥并对像Google Authenticator这样的 OTP 智能手机应用程序保持怀疑。

但是 OTP 的基本概念与使用挑战响应进行公钥加密相同。拥有是拥有秘密或私人密钥。

OTP 使用密钥而不是私钥，因为用户应该能够输入结果（OTP 值）。使用私钥，这是不可能的，因为私钥操作的结果太长了。

私钥方案始终需要将硬件连接到机器（请参阅智能卡登录）。...这需要驱动程序和连接器。（用 iphone 11 试试这个 ;-)

所以是的，我认为 OTP 的基本概念——也就是使用密钥——仍然会存在一段时间。