许多银行提供令牌设备来创建一次性密码。我想知道他们使用的是哪种OTP算法?是HOTP还是TOTP?
银行在其密码生成器令牌上使用哪种一次性密码算法(OTP)?
4
- abeikverdi
1
这肯定会因涉及的银行而异吧?我不认为全球每个银行都使用相同的标准,所以这个问题实际上无法回答。(如果有的话,我想看到引用信息和答案的可信来源。) - Ken White
2个回答
4
如aiodintsov所说,答案不能概括,但选择技术确实取决于银行。我猜测应该使用
当您从银行收到一条 OTP 时,通常会要求您在一定时间内使用该 OTP,否则它将过期。如果银行使用的是
因此,下次您收到不要求在规定时间内使用 OTP 的 OTP 时,请确保它是使用
TOTP。让我给出选择的原因。TOTP通过使用Unix时间戳来消除客户端和服务器在事件计数器上保持同步的需要。该算法允许服务器选择多远的时间戳是可以接受的,以便校正时钟漂移。当您从银行收到一条 OTP 时,通常会要求您在一定时间内使用该 OTP,否则它将过期。如果银行使用的是
HOTP,则 OTP 不需要在经过一段时间后过期,只有在您发出另一个请求并增加计数器后才会过期。因此,下次您收到不要求在规定时间内使用 OTP 的 OTP 时,请确保它是使用
HOTP 生成的。- Venkatesh Kumar
1
好的对齐!
既然你说输入密码有时间限制,他们应该实现基于系统时钟的功能。
感谢您周到的回复。 - abeikverdi
2
他们可以使用任何他们想要的哈希函数,包括HOTP和TOTP。详见RFC 4226和RFC 6238。我曾经拥有一张完全符合RFC 4226标准的测试卡,其中包含HOTP算法,可以用于身份验证解决方案(该卡的密钥已提供)。
- aiodintsov
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接