Quali sono alcuni modi efficaci per generare sfida/risposta segreta voce di schema?
-
18-09-2019 - |
Domanda
Abbiamo un sistema che utilizza l'autenticazione della password per accedere a un database, il nome utente e la password crittografate sono memorizzati nel database.quando un utente dimentica la propria password (o l'amministratore di foglie per pascoli più verdi) si vuole essere in grado di generare una nuova password per l'amministratore o generare un nuovo amministratore.
Abbiamo a che fare con i nostri clienti tramite supporto telefonico.Così si desidera utilizzare questo scenario:
utente anelli fino dimenticato la password.
il software client genera un codice di autenticazione basato su loro licenza di sito
utente dice di telefono personale di supporto la sfida codice
supporto telefonico personale di dare un codice di risposta
utente entra in sfida e codice di risposta, e va in backdoor (nuovi creati dall'utente o la password dell'utente corrente reset)
Vogliamo il challenge/response, funziona solo una volta, non vogliamo lasciare la porta aperta.
come dobbiamo procedere?
Soluzione
generare codice di autenticazione basato sia su licenza di sito e database memorizzato la password.Con la nuova password, necessariamente la prossima sfida codice sarà diverso.Nessuna backdoor.
Altri suggerimenti
Questa è la teoria dietro PIN calcolatrici e si può ottenere le diverse implementazioni, in modo che non è nemmeno necessario prendere il telefono, ma il client è in grado di generare da sola, con un telefono cellulare per esempio.