如何保护 OTP(一次性密码)免受暴力攻击?

【问题标题】:How can OTP (one time password) be protected against brute force attacks?如何保护 OTP(一次性密码)免受暴力攻击?
【发布时间】:2019-02-11 06:10:02
【问题描述】:

我们的应用程序中有一项功能要求在执行某些功能之前提供六位数的 OTP。它通过 SMS 发送,有效期为 5 分钟。有一个内部渗透测试表明这很容易受到暴力攻击。我们可以通过编程方式做些什么来防止这种情况发生?

【问题讨论】:

  • 把点赞时间缩短到30秒,把代码加长6个字符左右,使用强算法生成。实现在多次尝试失败后锁定用户的代码,或者至少在一些失败尝试后添加验证码。
  • 已经是 6 位数了

标签: brute-force owasp one-time-password one-time-pad


【解决方案1】:
  • 对 OPT 使用长文本,例如 6-10 个字符。这将提供很多组合阶乘(N)。这将是一个非常大的数字,普通系统无法在 5 分钟内猜出 OTP。
  • 不仅要使用数字,还要使用可以使您的 OTP 更强大的字符。

【讨论】:

    猜你喜欢
    • 2016-03-13
    • 2011-10-02
    • 2020-05-12
    • 2016-10-28
    • 2011-05-14
    • 1970-01-01
    • 1970-01-01
    • 2010-11-04
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode