動的リンクのためのOtp強化 - 特定の言語はありません

Question

私のウェブサイト私はトークンハードウェア時間基準（キーパッドなし）を使ってワンタイムパスワードを生成します。

新しい要件は、トランザクション量にリンクされたコードを生成して受け入れることです。

同じハードウェアトークンを使用してこれを行うには、otpでいくつかの数字を挿入するように促すことができますか？ 192 $の取引については、例えば

と生成した値「123456」OTP、サーバは伝えます：「上量の2桁の数字を追加」、ユーザーが19123456.

に他の値を挿入する必要がありますたとえば、トランザクションが4 $でotp生成値が "456456"の場合、サーバは "最後に3桁の数字を追加"と伝え、ユーザは値 "456456004"を挿入する必要があります。

Is安全で安全ですか？

それは類似した存在ですか？あなたは同じトークンを使用したい場合、多く

Answer 1

おかげで - これはトリック可能性があり、量が保護されます。しかし、誰かが通貨や支払いの受領者を変更する場合はどうなりますか？

セキュリティを強化するため、トランザクションデータに基づいてOTPを生成するために設計されたOCRA（RFC 6287）アルゴリズムを検討することをお勧めします。

このようなアプローチの利点は、より多くのデータがOTP生成に関与し、このようにハッキングから保護される可能性があることです。同時に、ユーザーは同じ長さのコードを受け取ります。

CWYS（確認内容）など、ソフトウェアとハ​​ードウェアのトークンなど、トランザクションのデータを保護するためのオプションが多数あります。