个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
24
4
我的任务是创建一个一次性密码 (OTP) 系统,该系统最终将用于在移动设备上创建 OTP 生成器。
我们正在考虑使用 HOTP (rfc 4226)使用计数器,但可能有一些变化。我们不需要遵守 OATH。
这是我在安全/密码领域的第一次体验,所以我试图避免(并了解)那些让安全菜鸟陷入困境的安全陷阱,并更好地了解我需要做什么和知道如何完成这个任务。
除了这个一般性建议之外,我还有一些关于实现这个项目的具体问题:
HOTP 是否仍然被认为是安全的,即使它只是使用 SHA-1?我的一位同事建议我们应该使用 HMAC-SHA-512。切换我们正在使用的底层算法看起来很容易。我应该知道这里有任何副作用吗?比如增加处理时间?
我担心计数器同步。我应该使用什么作为可能计数器值的理智前瞻?如果用户点击超过我们的前瞻限制,恢复同步的最佳方法是什么?显示和发送计数器以及相应的 OTP 是否更容易,或者这会大大削弱安全性吗?
我也不太了解安全存储相关信息(例如共享 key 和计数器值)的最佳做法。
当您回答时,请记住我是这个领域的新手,并且仍在努力了解行话和首字母缩略词。提前致谢。
最佳答案
HMAC-SHA1 比 SHA-1 强很多,我相信它有 been broken .我的内存有些模糊,但谷歌搜索发现了一些关于 HMAC-SHA-1 与 SHA-1 的更多信息 here .
关于java - 关于实现一次性密码系统,我还需要了解什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3198374/
24
4
0
我无法理解 XmlWriter 在 C# 中的工作方式。假设以下代码在某处使用过。 StringBuilder builder = new StringBuilder(); XmlWriterSett
两者的主要区别是什么 一次性 一次性观察者 复合 Material 一次性 何时使用它们中的每一个 最佳答案 Disposable 是可以取消的作业。CompositeDisposable 是一个父作
我使用 QML 列布局,但我只想禁用(或减少)两个元素之间的间距。其余之间的间距应单独保留。 这可能吗? 谢谢。 最佳答案 减少是困难的,但增加两个相邻项之间的间距很容易:只需在它们之间插入一个空的
我有一个“设置” View 和关联的 Controller ,在从源代码管理克隆站点后,我立即使用它们来配置 MVC 站点的数据库和 web.config。 运行一次后,我想防止“设置” Contro
我正在尝试从 Peter Seibel 的《Practical Common Lisp》一书中学习 Lisp。在 chapter 8 : "Macros: Defining your own" ,我遇
我正在实现一个从 Resource 发出行的可观察对象. 问题是这个资源真的不喜欢从创建它的不同线程关闭(它会杀死一只小狗并在发生这种情况时抛出异常)。 当我处理订阅时,资源 Cancellable/
假设我使用以下命令启动了一次性流程:heroku run:detached "node do-some-stuff.js" --app my-app命令的输出是这样的: /usr/local/hero
是否可以识别正在运行一次性 dyno(即 heroku run rails console)的用户(可能通过 Heroku 电子邮件)?用例自动将更改归因于该用户。 最佳答案 我认为这是不可能的,因为
前一段时间我使用 setup_environ() 编写了一个从命令行运行的一次性 python 脚本,它不太适合作为自定义 manage.py 命令(我的首选)。它很好地设置了一切。我假设我们弃用了这
当我使用 RXJava 1 时,我总是跟踪我的订阅以在 onDestroy Activity 中执行取消订阅。示例:https://medium.com/@scanarch/how-to-leak-m
在较旧的 MVC HTML 帮助程序中,可以使用 IDisposable 来包装内容 - 例如 BeginForm 帮助程序会自动包装 *stuff*带有结束 form 标记 *stuff*
我想使用 System.Threading.Timer 执行一次。该计时器应该在不再需要时(即回调触发时)通过调用 Dispose 来确定性地清理。 问题在于回调无法可靠地获取对 Timer 的引用!
我是 Angular 1.5 的新手,正在学习单向数据流的最佳实践。我要离开这个 jsfiddle,我真的很困惑特别是一种行为。 我理解数据从父级向下流向子级并且是单向绑定(bind)的,即子级的变化
我正在尝试抓取一个使用大量 ajax 效果在表格中显示数据的网站。 当您与网站交互时,会通过 JSON 返回一些数据。 我知道 URL 以及如何构造它,但如果我尝试重新请求此 JSON,服务器会返回
是否可以在一次性级触发模式下使用epoll? 当我搜索时,我找不到任何关于它的信息;好像大家都用边沿触发的方式。 最佳答案 When the EPOLLONESHOT flag is selected
在阅读了我能找到的关于延续的几乎所有内容后,我仍然无法理解它们。也许是因为所有的解释都与 lambda 演算密切相关,我很难理解。 通常,在您完成当前的事情(即计算的其余部分)之后,continuat
我有一个 block 的自定义实现,它的工作方式很像 Html.BeginForm() .实现基本如下: public class MyBlock : IDisposable { privat
我们有一个广泛的经典 ASP 站点,我们正在寻求升级到 ASP .Net(很可能是最新版本)。显然,一次升级所有页面将是一项艰巨的任务,因此我们一开始只希望在 ASP .Net 中编写新页面(和页面重
我有一个 Django 和 django 休息框架项目,我希望移动设备能够请求 token ,然后在断开连接之前使用该 token x 分钟。我不想为每个移动设备创建一个用户,我只想要一个一次性密码。
我正在通过 Forte.js 集成 ACH eCheck 付款。 文档说第一步是获取一次性安全 token ,我就是这样做的,使用 forte.js . 那么我应该将此 token 用于 REST A
我是一名优秀的程序员,十分优秀!