Quais são algumas maneiras eficientes para gerar desafio / resposta para um regime de entrada backdoor?
-
18-09-2019 - |
Pergunta
Temos um sistema que a autenticação usos senha para acessar um banco de dados, os nomes de usuário e senhas criptografadas são armazenadas no banco de dados. quando um usuário esquece sua senha, (ou as folhas de administrador para pastos mais verdes) queremos ser capaz de gerar uma nova senha para o administrador atual ou gerar um novo administrador.
Nós lidamos com nossos clientes através de suporte por telefone. Por isso, queremos usar este cenário:
user anéis up -. Esqueceu sua senha
software cliente gera um código de desafio baseado em sua licença site
user conta pessoal de apoio telefone o código de desafio
telefone pessoal de apoio dar um código de resposta ??p>
user entra desafio e código de resposta, e vai para o backdoor (ou novo usuário criado ou a senha de redefinição de usuário atual)
Queremos que o desafio / resposta para funcionar apenas uma vez, nós não queremos deixar o backdoor aberto.
como devemos fazê-lo?
Solução
gerar código desafio baseado em ambos licença de instalação e banco de dados armazenados senha. Com a nova senha, necessariamente, o próximo código desafio será diferente. Sem backdoor.