问题标签 [one-time-password]

我需要限制对外部站点的访问，以便：

• 公司网络中的用户可以完全访问网站的功能，
• 那些不是 - 只有有限的功能。

在企业网络中，用户确实针对 Windows 域进行身份验证。在网络中，我可以设置一个可以进行身份​​验证的服务器/服务。这是安全的，我毫不怀疑，尤其是当它在里面的时候。

外部站点不是域的一部分。

我对自己的建议是设置一个服务，该服务将对用户进行身份验证，创建一个安全令牌，然后将用户重定向到外部站点。这样用户就可以在那里进行身份验证而无需输入密码（甚至可能没有登录）。

我有疑问：如何做到这一点？这有多安全？有多少重度/加密货币开发？

我假设安全令牌应该是有时间限制的，外部站点和内部身份验证服务都应该支持 SSL/TLS（对称/非对称密钥？）。我在这里错过了什么吗？当然，我是，但什么？

我正在做一个关于 IT 安全的项目，我的项目涉及数据加密和解密。我有一个想法，即生成一个真正的随机密钥，该密钥不能使用一次性键盘重复使用。但是我不想从头开始编写代码，因为我不是 python 编程语言的专家。我需要用python编写的代码。以及代码应该在 Windows 操作系统上可执行。因为我使用的是 Windows 7 和 8。

我已经使用广播接收器从收到的短信中读取 OTP，并且我已经提取了它。我还使用 Toast 显示了 OTP。但我不希望用户记住并输入 OTP，我想用该 OTP 填充文本字段。我怎样才能做到这一点？

我正在尝试在供应商的帮助下进行 OTP 验证，以便向应用程序用户发送消息。供应商向我提供了 request_sms.php 文件，我必须在其中集成 api 密钥。我在本地尝试过，它运行良好，没有任何问题。我在我的服务器上尝试了同样的方法，我没有收到任何关于 OTP 的短信，但这些值存储在我的数据库中。任何帮助将不胜感激。谢谢

我正在做一些研究以决定一种生成一次性密码的方法。根据我到目前为止所遇到的材料，每个人都使用随机/伪随机密钥的一些散列和加密函数。为什么不能将基本随机函数用作一次性密码？如果密码生成只需要在服务器中发生并发送到客户端（通过文本），那么这种方法有什么缺点吗？

我正在尝试使用 C 和 libgcrypt 实现一个简单的 TOTP 客户端。
我已经阅读了RFC 6238和RFC 4226，但结果仍然存在一些问题。

根据附录 B中编写的测试向量，如果我使用TC=1234567890/30andsecret_key="12345678901234567890"我应该收到89005924TOTP 值，但相反，我收到37734835.
我的代码有什么问题？:-/
谢谢

我正在使用带有 SSH 登录的Google 身份验证器 PAM 模块，我的设置在我的本地设置中通过我的家庭网络运行。但是当我在公共服务器上安装时，服务器和客户端（谷歌身份验证器 android 应用程序）之间的时间差导致 OTP 验证失败。我正在使用基于时间的 OTP 代码，正如谷歌身份验证器 PAM wiki 所说，如果我连续 3 次输入正确的 OTP，那么服务器端 PAM 模块会计算时间偏差并为以后的所有登录进行更正，它的工作方式就是这样. 但是每个新用户进入OTP 3次都会很痛苦，有什么解决办法吗？

我为我的 Gmail 帐户激活了 OTP 验证，这不需要我输入 3 次 OTP。他们一定对 google 身份验证器 PAM 模块进行了一些更改。解决此问题的任何指示都会非常有帮助。

我们正在开发一个网络应用应用程序，并计划使用推送通知发送“一次性密码”。但根据 Apple 指南，“使用推送通知发送敏感个人或机密信息的应用程序将被拒绝”。请建议。

如何在 Spring Security 中实现 OTP 2 因素身份验证。首先，数据库用户名和密码认证和基于用户角色重定向到OTP认证？

我有一个 Django 和 django rest 框架项目，我希望移动设备能够请求令牌，然后在断开连接之前使用该令牌 x 分钟。我不想为每个移动设备创建一个用户，我只想要一个一次性密码。

我尝试使用内置于 drf 的身份验证系统，但它需要一个用户。

所以我在考虑只使用 onetimepass 包来生成一次性令牌。