应用错误收集

使用物理令牌执行此操作的最安全方法实际上是使用第三方产品，例如RSA SecurId。它们还有一个版本，用于将令牌发送到移动设备，这是“On-demand Authenticators”产品的一部分。

否则，如果您想制造自己的系统，那么您需要考虑：

令牌的生命周期。
- 令牌需要多长时间才能激活？
- 如果客户端与服务器位于不同的时区，会发生什么？
令牌的随机性？
- 您使用什么方法生成令牌？ GUID的最后n位数？ Psuedo随机数表？ secret + userID +随机数，哈希，然后取最后n位数？
- 令牌的有效字符是什么？ [0-9] * | [a-zA-Z] * | [0-9A-F] * |等
- 令牌的长度是多少？
在验证之前存储的令牌在哪里？
用于传输令牌的机制有多安全？
- 通过HTTPS？
- 通过公共短信网络？
用户如何收到令牌？
- Rabo银行有一个设备，你可以用别针解锁，然后发出代码。
- 可以让您输入给定令牌的设备会发出您需要回复的令牌吗？
如果出现过期令牌会怎样？
在锁定设备/访问权限之前，您尝试过多少次尝试？

我参与了为银行建立一个系统。它是使用类似于Microsoft Federation Gateway提供的机制实现的。它可能不是用于登录，但它仍然用于身份验证。