¿Por qué es necesario que caduque la OTP?

0

La OTP se puede implementar utilizando Google Authenticator o enviando SMS al usuario. El código GA se crea con una marca de tiempo y el código caduca si se usa después de algún tiempo.

Sin embargo, en el caso de SMS, el valor OTP se guarda en la base de datos en el lado del servidor. El cliente puede tomar cualquier cantidad de tiempo y luego enviar el valor OTP. ¿Entonces por qué se requiere la caducidad en este caso? No puedo pensar en ningún compromiso de seguridad. Indique las inquietudes debidas a la PTO sin vencimiento.

    
pregunta Shashwat Kumar 26.04.2018 - 15:29
fuente

1 respuesta

3

Por un lado, un atacante con acceso temporal al teléfono podría obtener varias OTP y usarlas mucho más tarde, lo que anularía el punto de usar OTP en primer lugar. Otro problema podría ser que el usuario solicite una OTP y luego no la use, más tarde un atacante podría acceder a sus mensajes (por ejemplo, desde una copia de seguridad) y obtener esta OTP activa.

Por lo general, desea asegurarse de que el usuario tenga posesión del segundo factor, la tarjeta SIM móvil en este caso en el momento en que se produce el inicio de sesión.

Otra cosa es que tener muchas PTO activas aumenta las posibilidades de que alguien adivine a uno de ellos por la fuerza bruta.

También hay una consideración práctica, que almacenar una gran cantidad de OTP innecesarias en la base de datos desperdicia espacio.

    
respondido por el Peter Harmann 26.04.2018 - 15:34
fuente

Lea otras preguntas en las etiquetas