security - 离线 OTP 系统真的安全吗?
问题描述
我知道如果在线,OTP(一次性密码)系统是目前最安全的方法。
在线 OTP 系统(例如向手机发送代码消息)是安全的,因为如果攻击者不打电话或截获消息内容,则攻击者无法知道代码。
但是,离线 OTP 看起来并不那么安全。因为它不需要网络连接,所以服务器和客户端应该共享相同的算法来编写一些代码。也许他们使用一些在服务器和客户端之间共享的公钥和时间戳。
仅使用密码并没有太大不同。如果攻击者知道公钥,他可以使用带有算法的密钥并与他的本地系统制作相同的 OTP 代码。
我不确定离线 OTP 系统是否安全。你怎么看?
解决方案
推荐阅读
- java - 根据自定义对象对对象列表进行排序作为字段之一
- java - 为什么 JPA Spring Boot 以错误的顺序放置 MySQL 数据?
- javascript - ReactJS - LocalStorage,我如何格式化我的本地存储
- html - React 锚标记不会将我带到同一页面上的另一个组件
- java - 使用 Java 8 将 2 个或多个字段组合为 Map 中的键的最佳方法是什么?
- mongodb - 无法获取 Passport.js 的 req.user 值
- git - 从未合并的分支分支时,如何在 Git 中停止无意义的合并冲突?
- javascript - readTextFile 函数返回未定义。为什么?
- python - Flask-SQLAlchemy 加入并按时间戳获取最大值
- ios - 找不到嵌入在应用程序包中的按需资源