什么是一些有效的方法来生成一个后门进入方案质询/响应？

Question

我们有一个使用口令认证来访问数据库的系统中，用户名和加密密码存储在数据库中。当用户忘记了自己的密码（或管理员留下了绿色的牧场），我们希望能够为当前的管理员口令或产生新的管理员。

我们应对通过电话支持我们的客户。所以我们想用这样的情景：

用户环向上 - 忘记密码

客户端软件基于其网站许可证产生质询码

用户告诉电话支持人员的询问码

电话支持人员得到的响应代码

用户输入质询和响应代码，并在后门进入（或者新的用户创建或当前用户复位密码）

我们要面临的挑战/响应只能使用一次，我们不想留下后门打开。

我们应该怎样做呢？

Answer 1

基于两个站点许可证和数据库存储的密码的询问码。随着新的密码，一定是下一个挑战的代码会有所不同。无后门。

Answer 2

RFC4226，HTOP

这是PIN计算器背后的理论，你可以得到不同的实现方式吧，这样，你甚至不必拿起电话，但客户端可以生成它自己，用的例如移动电话。