ワンタイムパスワードの配信の保護方法

Question

ワンタイムパスワードに関するStackOverflowや他のウェブサイトに関する他の投稿を読んでいます。私はRFC 6238 - TOTPとRFC 4226 - HOTPについて読んでいます。

OTPは、データベースの平文ではなく、SMSゲートウェイ経由でクライアントのモバイルに送信されることを理解しています。彼らは平文でなければならない。

SMS Gatewayの担当者が、そのOTPを読むことができないのですか？

銀行や他の組織はこれをどうやって安全に行うのですか？

Answer 1

GSMは、その信号に暗号化を使用します。デコードするのは難しいですが、SIMカードの詳細を知っていて、BTSがそれをラッチし、そのBTS範囲のHackerでも記述ロジックを使ってSMSを見ることができます。それは、解読するのに時間と知識が必要でした。 TOTPは99.9％の安全性を備えています。

は、ゲートウェイ

1. 彼らはセキュリティ上の理由から銀行ローカル/ VPNネットワーク内で、約トークます。
2. SSL/TLS暗号化を使用して、銀行システムからGSMゲートウェイへの安全な通信を行うことができます。
SMSゲートウェイ、彼らは見ることができます

そうで

人。しかし、受信者が誰であるか、見つからないテキストが何であるかは、ゲートウェイの洪水のように通常起こります。どんな方法の銀行もSMSシステムにOTP SMSを記録しないためにsmsゲートウェイと契約を結ぶことができるので、smsゲートウェイの人はそれらのSMSを見ることができません。