Generazione e scadenza del codice di verifica

Naviga le tue risposte
0

Sto cercando di implementare un'applicazione che include la registrazione,

Per registrarsi al sistema, l'utente deve inserire il suo numero ID dell'organizzazione, diciamo. Per verificare l'identità dell'utente, verrà inviato un codice di verifica al numero di telefono memorizzato nel database che soddisfa il numero ID inserito,

Mi chiedevo quale sarebbe il modo migliore per implementare questo meccanismo di verifica in modo sicuro? Quale algoritmo dovrei usare per generare il codice di verifica? Questo CheckDigitSystem ha suggerito alcuni algoritmi, ma sono più preoccupato del tempo per evitare attacchi di riproduzione.

È pratico aggiungere o utilizzare il timestamp per generare il codice di verifica? Quale dovrebbe essere il TTL per la scadenza del codice di verifica?

Sono anche preoccupato per l'esperienza utente, se non desidero rendere troppo lungo il codice di verifica, dovrei implementare la scadenza al numero di tentativi? O è meglio usare codici di verifica lunghi?

    
posta Lamia 17.09.2014 - 10:15
fonte

1 risposta

1

L'invio di un codice di verifica è una buona opzione per utilizzare le informazioni che hai nel database. Per il tipo di algoritmo, è possibile utilizzare un complesso o semplici. Quello semplice che ho in mente è il timestamp e aggiungere salatura ad esso. Come funziona la crittografia.

Per quanto riguarda il tempo di scadenza, renderlo come 3 minuti sarebbe sufficiente. Il numero di tentativi sarebbe pari a 3 volte, una volta raggiunto l'errore 3, creare un dettaglio del registro nel sistema o inviare una notifica per informarti che qualcuno tenta di hackerare il sistema o qualcosa del genere.

    
risposta data 17.09.2014 - 11:16
fonte

Leggi altre domande sui tag

I "Modelli di certificato" sono utilizzati solo come "Modello" o convalidano una richiesta di certificato? Attacco MITM in una rete stellare con server proxy