【发布时间】:2018-07-09 04:52:15
【问题描述】:
假设您正在编写一个 Web 应用程序,该应用程序仅显示一张虚拟客户卡,客户可以通过该卡在您的商店中识别自己。客户不能将其客户卡复制给朋友和家人,因此二维码/条形码必须是动态的。通常的做法是定期从服务器传输一个新种子,然后 WebApp 会根据时间生成一个 OTP。
问题在于算法是在本地执行的,而 WebApp 的种子不在智能手机的受保护区域内。然后,用户可以传递种子,使用 FakeApp 的人可以在接下来的 X 分钟内生成一张假卡,并在没有联网的情况下在另一家商店使用客户福利(双花)。
因此,从服务器以较短的时间间隔发送 OTP 是最安全的,并且不会在本地生成任何内容。但问题是,一旦互联网连接中断,WebApp 就不再工作了,而且在厚墙商店中仍然经常出现这种情况。
这个问题有解决办法吗?
【问题讨论】:
标签: security one-time-password