爲銀行/金融網站實施臨時交易密碼的最佳做法/算法/方法

Question

爲網站實施臨時交易密碼功能的最佳做法是什麼？

比如，對於銀行/金融場景，如 - 雖然從一個賬戶transfering資金到另一個，交易時需要密碼 - 雖然commiting交易，交易時需要密碼 - 等

密碼應該是臨時的和基於時間的，即在x分鐘過後該密碼不應該工作。

你會推薦什麼算法？ 您是否建議跟蹤使用的密碼，即在某些商店中存儲使用的密碼？

某些網站使用OneTimePassword設備。除此之外，請感謝您突出您認爲合適的其他策略。

歡迎任何其他想法/建議/算法。

編輯：基於 'lassevk' 問題

1. 的密碼將通過電子郵件/電話/短信傳達。
2. 沒有涉及第三方網站。

我需要此應用程序中的關鍵點額外的安全級別。 這也可以稱爲「AuthenticationCode」。

Answer 1

編輯更新的問題後：

那麼，一個方法是簡單地將其存儲在會話變量，這將使它強行離開時重新啓動該服務。

此外，你需要有一個計時器，基本上你存儲過期時間+密碼的地方，每當你檢查密碼，如果過期時間在過去，你沒有密碼，只是清除它。

如果你在一些基本的代碼，不僅檢查是否正確的密碼發送給，那就需要能夠回答這兩個是，沒有和沒有密碼存儲使封裝送人你可以給用戶提供適當的信息。

---

幾個問題：

• 你會如何溝通的臨時密碼給用戶？短信？
• 是同一個網站的密碼，還是爲另一個鏈接網站創建的？ （即您的銀行主網站是否生成或獲取密碼，並使用該密碼登錄或授權另一個相關網站上的交易？）

如果答案是：

• 通過網站
• 沒有，同一站點

那又有什麼意義呢？你希望從中獲得什麼？實現此功能的具體標準或目標是什麼？

Answer 2

那麼它真的從機構不同的機構

創建會話的基礎上，金融PIN會更保證器的策略而不是創建一個特定的時間段工作的FPIN。

如果您有資源發送短信到FPIN，那麼最好的做法是在每次交易之前生成FPIN，並將短信發送給用戶，如2FA。

關注 Azeem。