Какой алгоритм OTP (одноразовый пароль) банки используют в своем токене генератора пароля?
Многие банки предлагают некоторые токен-устройства для создания паролей на одноразовое использование. Интересно, какой алгоритм OTP они используют? Это HOTP или TOTP?
2 ответа
Как сказал Айодинцов, ответ не может быть обобщен, но выбор технологии действительно зависит от банка. Мое предположение TOTP, Но позвольте мне привести причину выбора.
TOTP устраняет необходимость в синхронизации клиента и сервера со счетчиком событий, используя вместо этого метку времени Unix. Алгоритм позволяет серверу выбирать, как далеко от входящей метки времени он считает приемлемым, чтобы скорректировать смещение часов.
Когда вы получаете OTP от банка, вам обычно говорят, что вы должны использовать этот OTP в течение определенного периода времени, после которого он истекает. Если банки используют HOTP срок действия OTP не должен истекать через некоторый промежуток времени, скорее он истекает только после того, как вы разместите другой запрос, увеличив счетчик.
Итак, в следующий раз, когда вы получите OTP, который не просит вас использовать его в течение определенного периода времени, убедитесь, что он генерируется с помощью HOTP,
Они могут использовать все, что захотят, любую хэш-функцию по своему выбору. Используются как HOTP, так и TOTP. см. RFC 4226 и RFC 6238. Однажды у меня была тестовая карта с алгоритмом HOTP в полном соответствии с RFC 4226, и я мог использовать ее для решения аутентификации (для карты был предоставлен секретный ключ).