1

我们有一个使用密码验证来访问数据库的系统,用户名和加密密码存储在数据库中。当用户忘记他们的密码时,(或管理员离开去更绿的牧场)我们希望能够为当前管理员生成一个新密码或生成一个新管理员。

我们通过电话支持与客户打交道。所以我们要使用这个场景:

用户响起 - 忘记密码。

客户端软件根据其站点许可证生成质询代码

用户告诉电话支持人员挑战码

电话支持人员提供响应代码

用户输入挑战码和响应码,然后进入后门(创建新用户或重置当前用户密码)

我们希望挑战/响应只工作一次,我们不想让后门敞开。

我们应该怎么做?

4

2 回答 2

3

RFC4226,HTOP

这就是 PIN 计算器背后的理论,您可以为其获得不同的实现,这样您甚至不必拿起电话,但客户端可以自己生成它,例如使用手机。

于 2009-11-09T06:25:13.153 回答
0

根据站点许可证和数据库存储的密码生成质询代码。有了新密码,下一个挑战码必然会有所不同。没有后门。

于 2009-11-09T05:01:06.297 回答