对于应用(Android和iOS)项目,需要注册才能登录。这是通过使用应用中的相机功能扫描关联网页上包含QR code的{{1}}来完成的。
one-time password我想创建一种机制,以避免某人打开注册流程然后离开他的办公桌(例如在办公室喝咖啡)一段时间。否则一些攻击者'可以完成QR步骤,当原始用户返回他的桌子时,他将设置一个引脚并确认。可能没有意识到有一个QR步骤。即使攻击者'不会知道PIN,错误的设备将被注册。因此原始用户将无法使用他的应用程序。
目前有1分钟的时间限制。但QR可以 重新加载了新的OTP,因此效果不大。
答案 0 :(得分:0)
我不认为这是真的可能,因为QR码可以是任意大小,所以我不认为有一种方法可以知道QR码的真实程度是多么接近或远,所以不能真正防止过来。肩&#39 ;.在任何情况下,如果用户确实离开了,那么实际上没有真正的方法来区分攻击者或真实用户,因为攻击者可以在技术上尽可能接近他们。
如果攻击者在用户离开时扫描代码并设置引脚,该怎么办?我不认为这是一种非常安全的注册方法,但它会很方便。取决于攻击者实际可以对应用程序做什么,如果它是一个银行应用程序我不会推荐这个,但就像它是一个我的小马驹游戏,奖励超过我认为的风险。