为网站实施临时交易密码功能的最佳做法是什么?
例如银行/金融业务 - 在将资金从一个帐户转移到另一个帐户时,需要一个交易密码 - 在进行交易时,需要交易密码 - 等等。
密码应该是临时的和基于时间的,即在x分钟过后该密码不起作用。
您会推荐什么算法? 您是否建议跟踪使用过的密码,即在某些商店中存储使用过的密码?
某些网站使用OneTimePassword设备。除此之外,请考虑强调您认为可能适合的任何其他策略。
欢迎任何其他想法/建议/算法。
编辑:基于'lassevk'的问题
我要求这为应用程序中的关键点提供额外的安全级别。 这也可以称为“AuthenticationCode”。
答案 0 :(得分:0)
更新问题后修改:
嗯,一种方法是简单地将它存储在会话变量中,这会使服务重新启动时强行消失。
此外你需要有一个计时器,基本上你在某个地方存储过期时间+密码,每当你检查密码时,如果过期的时间是过去的,你没有密码只是清除它
如果你把它封装在一些基本代码中,不仅检查是否给出了正确的密码,那么它需要能够同时回答是,否 ,无密码存储,以便您可以向用户提供相应的消息。
几个问题:
如果答案是:
那又有什么意义呢?你有什么希望从中得到的?实现此功能的具体标准或目标是什么?
答案 1 :(得分:0)
那么从机构到机构真的不同
在会话的基础上创建财务PIN将是更安全的策略,而不是创建适用于特定时间段的FPIN。
如果您有资源发送短信FPIN,那么最佳做法是在每次交易之前生成FPIN,并将FPIN发送给用户,这可能是2FA。
此致 Azeem。