对于我的网站,我确实使用令牌硬件时间(无键盘)生成一次性密码。
新要求是生成并接受链接到交易金额的代码。
为了使用相同的硬件令牌执行此操作,我可以丰富otp接受要求插入一些数字吗?
例如,对于192 $和otp生成的值" 123456"的交易,服务器告诉:"在顶部添加2位数量"并且用户必须插入值19123456。
另一次,例如,如果交易是4 $并且otp生成的值是" 456456"服务器可以告诉"最后添加3个数量的金额"并且用户必须插入值" 456456004"
安全/安全吗?
它是否存在类似的东西?
非常感谢
答案 0 :(得分:1)
如果您想使用相同的令牌 - 这可能是一个技巧,一定数量将受到保护。但是,如果有人会更改付款的货币或收款人呢?
为了更好的安全性,我建议考虑OCRA(RFC 6287)算法,该算法用于根据事务数据生成OTP。
这种方法的好处是可以在OTP生成中涉及更多的数据,并以这种方式防止黑客入侵。同时,用户仍然会收到相同长度的代码。
使用软件和硬件令牌保护交易数据有很多选择,例如CWYS(确认所见)和其他。