许多银行提供一些令牌设备,以便为一次性使用创建密码。我想知道他们使用哪种OTP算法?是HOTP还是TOTP?
答案 0 :(得分:3)
正如aiodintsov所说,答案不能一概而论,但技术的选择实际上取决于银行。我猜是TOTP。但是,让我给出选择的理由。
TOTP通过使用Unix时间戳取消了客户端和服务器在事件计数器上保持同步的需要。该算法允许服务器选择它认为可接受的传入时间戳的距离,以便校正时钟漂移。
当您从银行收到OTP时,通常会说您应该在某个时间限制内使用该OTP,之后它将过期。如果银行使用HOTP,则OTP不需要在一段时间后过期,而只有在您发出另一个请求后才会到期,递增计数器。
因此,下次您收到的OTP没有要求您在一个时间限制内使用它时,请确保它是使用HOTP生成的。
答案 1 :(得分:2)
他们可以使用他们想要的任何东西,他们选择的任何哈希函数。使用HOTP和TOTP。请参阅RFC 4226和RFC 6238.我曾经使用完全符合RFC 4226的HOTP算法测试卡,可以将其用于身份验证解决方案(为卡提供密钥)。