-1

Webサイトに一時的なトランザクションパスワード機能を実装するためのベストプラクティスは何ですか?

たとえば、次のような銀行/金融のシナリオでは、-あるアカウントから別のアカウントに資金を転送する場合、トランザクションパスワードが必要です-取引を行う場合、トランザクションパスワードが必要です-など。

パスワードは一時的で時間ベースである必要があります。つまり、このパスワードはx分が経過すると機能しなくなります。

どのアルゴリズムをお勧めしますか?使用済みパスワードを追跡することをお勧めしますか。つまり、使用済みパスワードを一部のストアに保存しますか?

一部のWebサイトはOneTimePasswordデバイスを使用しています。これとは別に、適切と思われる他の戦略を強調してください。

他の考え/提案/アルゴリズムは大歓迎です。

編集:「lassevk」からの質問に基づく

  1. パスワードは電子メール/電話/SMSで通知されます。
  2. 関係するサードサイトはありません。

アプリケーションの重要なポイントのセキュリティをさらに強化するために、これが必要です。これは「AuthenticationCode」と呼ばれることもあります。

4

2 に答える 2

0

更新された質問の後に編集:

1 つの方法は、セッション変数に単純に保存することです。これにより、サービスが再起動されるたびに強制的に削除されます。

さらに、タイマーが必要です。基本的に、有効期限とパスワードをどこかに保存し、パスワードを確認するたびに、有効期限が過ぎている場合は、パスワードを持っていないのでクリアします。

これをカプセル化して、正しいパスワードが与えられているかどうかをチェックするだけでなく、ユーザーに適切なメッセージを提供できるように、 yesno、および保存されているパスワードなしの両方に応答できる必要があります。

いくつかの質問:

  • 一時パスワードをユーザーにどのように伝えますか? SMS?
  • パスワードは同じサイトのものですか、それとも別のリンクされたサイト用に作成されたものですか? (つまり、銀行のメイン サイトがパスワードを生成または取得し、それを使用して別の関連サイトでログオンまたはトランザクションを承認しますか?)

答えが次の場合:

  • ウェブサイト経由
  • いいえ、同じサイト

それでは、ポイントは何ですか?これから何を得たいと思っていますか?この機能を実装するための具体的な基準または目標は何ですか?

于 2009-01-05T07:01:21.603 に答える
0

まあ、それは機関ごとに本当に異なります

特定の期間に有効な FPIN を作成するよりも、セッションに基づいて金融 PIN を作成する方がより安全な戦略となります。

FPIN を SMS で送信するためのリソースがある場合、ベスト プラクティスは、すべてのトランザクションの前に FPIN を生成し、FPIN をユーザーに SMS で送信することです。これは 2FA のようなものです。

よろしくアジーム。

于 2009-01-05T07:08:20.217 に答える