如何确保一次性密码交付

【问题标题】:How is one-time-password delivery secured如何确保一次性密码交付
【发布时间】:2017-06-14 19:17:17
【问题描述】:

我在 Stackoverflow 和其他网站的 RFC 6238 - TOTP 和 RFC 4226 - HOTP 中阅读了一次性密码。

我了解 OTP 不是以明文形式存储在数据库中,而是通过 SMS 网关发送到客户的移动设备时。它们必须是明文形式。

那么,中间的人,比如 SMS Gateway 的人,不能阅读那些 OTP 吗?

银行和其他组织如何安全地做到这一点?

【问题讨论】:

    标签: passwords sms one-time-password


    【解决方案1】:

    GSM 在其信号中使用加密。因此很难解码,但如果您知道 SIM 卡详细信息以及它锁定到哪个 BTS 并且黑客也在该 BTS 范围内,那么就可以使用描述逻辑查看您的 SMS。它需要时间和知识来描述。所以 TOTP 有 99.9% 的安全性。

    让我们谈谈网关

    1. 出于安全原因,它们可能位于银行本地/VPN 网络中。
    2. 可以使用 SSL/TLS 加密来实现从银行系统到 GSM 网关的安全通信。

    短信网关人员

    是的,他们可以看到。但如果他们不知道谁是收件人或文本是什么,则很难找到,因为在网关中通常会发生短信泛滥。任何方式银行都可以与短信网关达成协议,不在该系统中记录OTP短信,因此短信网关的人看不到这些短信。

    【讨论】:

      猜你喜欢
      • 2018-12-09
      • 2019-03-05
      • 2019-10-01
      • 2018-12-02
      • 1970-01-01
      • 1970-01-01
      • 2013-10-06
      • 2017-07-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode