rfc-4226

0熱度

2回答

我有一個一次性密碼系統爲我的網站使用RFC 4226實施。該密碼通過短信發送到移動設備。用戶只能在自己的移動設備上接收密碼，密碼在15分鐘後過期。用戶還具有通常使用的標準字母數字「主密碼」。我實施了3個失敗鎖定工作流程。此鎖定持續15分鐘。我的問題是從安全的角度來看，只有鎖定「主密碼」纔可以接受？如果他們使用一次性密碼功能，我應該允許用戶圍繞鎖定策略嗎？我是否打開任何類型的安全漏洞？

3熱度

1回答

關於實施一次性密碼系統我還需要了解什麼？

我的任務是創建一個一次性密碼（OTP）系統，該系統最終將用於在移動設備上創建OTP生成器。我們正在尋找使用HOTP (rfc 4226)使用計數器，但也許有一些變化。我們不需要符合OATH標準。這是我在安全/加密領域的第一次經歷，所以我試圖避免（並瞭解）安全新手的安全陷阱，以及更好地理解我需要做什麼並知道完成這項任務。除了這個一般的建議，我已經得到了有關實施該項目的幾個具體的問題：是HOT

2熱度

1回答

這是RFC 4226錯誤嗎？

RFC的測試值規定： Appendix D - HOTP Algorithm: Test Values The following test data uses the ASCII string "123456789" for the secret: Secret = 0x3132333435363738393031323334353637383930