gpt4 book ai didi

java - 关于实现一次性密码系统,我还需要了解什么?

转载 作者:塔克拉玛干 更新时间:2023-11-02 19:40:53 24 4
gpt4 key购买 nike

我的任务是创建一个一次性密码 (OTP) 系统,该系统最终将用于在移动设备上创建 OTP 生成器。

我们正在考虑使用 HOTP (rfc 4226)使用计数器,但可能有一些变化。我们不需要遵守 OATH。

这是我在安全/密码领域的第一次体验,所以我试图避免(并了解)那些让安全菜鸟陷入困境的安全陷阱,并更好地了解我需要做什么和知道如何完成这个任务。

除了这个一般性建议之外,我还有一些关于实现这个项目的具体问题:

HOTP 是否仍然被认为是安全的,即使它只是使用 SHA-1?我的一位同事建议我们应该使用 HMAC-SHA-512。切换我们正在使用的底层算法看起来很容易。我应该知道这里有任何副作用吗?比如增加处理时间?

我担心计数器同步。我应该使用什么作为可能计数器值的理智前瞻?如果用户点击超过我们的前瞻限制,恢复同步的最佳方法是什么?显示和发送计数器以及相应的 OTP 是否更容易,或者这会大大削弱安全性吗?

我也不太了解安全存储相关信息(例如共享 key 和计数器值)的最佳做法。

当您回答时,请记住我是这个领域的新手,并且仍在努力了解行话和首字母缩略词。提前致谢。

最佳答案

HMAC-SHA1 比 SHA-1 强很多,我相信它有 been broken .我的内存有些模糊,但谷歌搜索发现了一些关于 HMAC-SHA-1 与 SHA-1 的更多信息 here .

关于java - 关于实现一次性密码系统,我还需要了解什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3198374/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com