Ho cercato di trovare un tale standard che menzionasse la durata dell'APP PMI, tuttavia, il NIST non è più raccomandato utilizzando SMS OTP a causa del rischio.
Indipendentemente dai problemi di sicurezza, devo ancora implementare SMS OTP e vorrei conoscere i criteri standard per l'implementazione di SMS OTP. Quale dovrebbe essere la durata, per quanto tempo l'utente deve attendere fino a quando può richiedere un'altra OTP, può chiedere nuovamente la stessa OTP all'utente?
Nel caso in cui hai davvero bisogno di implementare una cosa del genere: Paypal utilizza ancora SMS OTP. Generano un nuovo token ogni 5 minuti e ne generano uno nuovo su richiesta se non ricordo male.
Dal mio punto di vista non c'è motivo per non farlo. L'intervallo di tempo deve corrispondere ad altre misure di sicurezza (come la limitazione della velocità) per assicurarsi che l'OTP non sia ipotizzabile in quel periodo. Questa è l'unica cosa da cui il tempo reale sta davvero proteggendo. Questo perché: se qualcuno riesce a realizzare uno degli altri possibili attacchi (MITM su rete mobile o attaccando il cellulare utilizzando direttamente malware) ogni intervallo di tempo che l'utente prende per inserire la chiave legittimamente è sufficiente per eseguire l'attacco e .
Leggi altre domande sui tag standards one-time-password