Quels sont les moyens efficaces pour générer défi / réponse pour un système d'entrée de porte dérobée?
-
18-09-2019 - |
Question
Nous avons un système qui utilise l'authentification par mot de passe pour accéder à une base de données, les noms d'utilisateur et mots de passe cryptés sont stockés dans la base de données. lorsqu'un utilisateur oublie son mot de passe, (ou l'administrateur quitte pour des pâturages plus verts) nous voulons être en mesure de générer un nouveau mot de passe pour l'administrateur actuel ou générer un nouvel administrateur.
Nous traitons avec nos clients via une assistance téléphonique. Nous voulons utiliser ce scénario:
anneaux utilisateur vers le haut - Mot de passe oublié.
logiciel client génère un code de challenge en fonction de leur licence de site
utilisateur dit support téléphonique personnel le code challenge
Le personnel de soutien téléphonique donnent un code de réponse
utilisateur entre défi et code de réponse, et va dans la porte dérobée (soit nouvel utilisateur créé ou mot de passe de réinitialisation d'utilisateur)
Nous voulons que le défi / réponse à une seule fois travailler, nous ne voulons pas laisser la porte dérobée ouverte.
comment devrions-nous aller à ce sujet?
La solution
générer du code défi à la fois basé sur la licence du site et base de données mot de passe stocké. Avec le nouveau mot de passe, nécessairement le prochain code défi sera différent. Pas de porte dérobée.
Autres conseils
Ceci est la théorie derrière les calculatrices PIN et vous pouvez obtenir différentes implémentations pour cela, de sorte que vous n'avez même pas prendre le téléphone mais le client peut elle-même générer, avec un téléphone mobile par exemple.