问题描述
我们已经在我们的产品中实现了使用移动 OTP 登录。并且 OTP 作为普通字符串存储在我们的数据库中。 我们希望使其安全,以便有权访问数据库的员工无法读取它。
我们评估了以下案例 -
1.不要向任何人提供 OTP 数据库/表的读取访问权限 - 这看起来很容易实现,但存在合规性问题 管理员用户始终可以访问此内容。
2. Store Encrypted OTP - 我们可以将加密的 OTP 存储在数据库中。所以这只能由有权访问的人访问 加密密钥。它还具有相同的重新发送的灵活性 OTP 功能 - 以便我们可以在重新发送请求时发送相同的 OTP。
3.使用 MD5 哈希 - 这是迄今为止最安全的方式,因为无法解密哈希。但它有 RESEND SAME 的限制 一次性密码。
那么,实施基于 OTP 的安全身份验证的标准做法应该是什么?如果有的话,还遵循哪些其他标准?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)