我知道 OTP(一次性密码)系统是目前在线时最安全的方法。
在线 OTP 系统(如向手机发送代码消息)是安全的,因为如果攻击者不继续打电话或拦截消息内容,则他无法知道代码。
然而,离线 OTP 看起来不太安全。因为它不需要网络连接,所以服务器和客户端应该共享相同的算法来制作一些代码。也许他们使用了一些在服务器和客户端之间共享的公钥和时间戳。
与仅使用密码并没有太大区别。如果攻击者知道公钥,他就可以使用带有算法的密钥并制作与本地系统相同的OTP代码。
我不确定离线 OTP 系统是否安全。你怎么看?
答案 0 :(得分:0)
通过 SMS 发送 OTP 代码可能并不像您想象的那么安全 - 重定向 SMS 消息相当容易,而且这种方法不再被 NIST 批准。
离线 OTP 代码生成可以由安装在移动设备上的身份验证应用生成,或者您可以使用 [OTP 硬件令牌][1] 生成代码。
对于生成 OTP 代码的攻击者,他需要获取种子数据(TOTP 算法是公共领域且随时可用)。如果黑客使用了硬件令牌,则种子数据在密封设备中将是安全的,但是如果代码是由应用程序生成的,则种子数据将存储在手机上(很可能是加密的,但可能可以访问)。< /p>
实际上,黑客更有可能从身份验证服务器本身或在将种子数据发送给用户时获取种子数据。另一个主要的攻击渠道可能是中间人攻击。
OTP 代码直到有自己的位置,但现在如果安全是优先考虑的,那么您也可以考虑基于 FIDO 密钥的解决方案。 [1]:https://deepnetsecurity.com/authenticators/one-time-password/safeid/