Perché è necessario scadere in OTP?

0

OTP può essere implementato utilizzando Google Authenticator o inviando SMS all'utente. Il codice GA viene creato utilizzando un timestamp e il codice scade se viene utilizzato dopo un po 'di tempo.

Tuttavia, in caso di SMS, il valore OTP viene salvato nel database sul lato server. Il client può impiegare qualsiasi quantità di tempo e quindi inviare il valore OTP. Allora perché la scadenza è necessaria in questo caso? Non sono in grado di pensare a nessun compromesso sulla sicurezza. Si prega di segnalare le preoccupazioni dovute a OTP senza scadenza.

    
posta Shashwat Kumar 26.04.2018 - 15:29
fonte

1 risposta

3

Per uno, un utente malintenzionato con accesso temporaneo al telefono potrebbe ottenere diversi OTP e utilizzarli molto più tardi, il che eliminerebbe il punto di utilizzo degli OTP in primo luogo. Un altro problema potrebbe essere l'utente che richiede un OTP e quindi non lo usa, più tardi un utente malintenzionato potrebbe accedere ai suoi messaggi (ad esempio dal backup) e ottenere questo OTP attivo.

Quindi, in generale, devi assicurarti che l'utente sia in possesso del secondo fattore, la scheda SIM mobile in questo caso, al momento dell'accesso.

Un'altra cosa è che avere molte OTP attive aumenta le possibilità che qualcuno indovini uno di loro con la forza bruta.

C'è anche una considerazione pratica, che la memorizzazione di molte OTP non necessarie nel database spreca spazio.

    
risposta data 26.04.2018 - 15:34
fonte

Leggi altre domande sui tag