: -- :

※ 发信站: 批踢踢实业坊(ptt.cc) : ◆ From: 140.123.102.254 : → micwang:根据渣打的说明，N的max应该是50 07/09 15:37 : → kikiapple:这样感觉只要拦截到你一次的密码 配合hash function 07/09 16:11 : → kikiapple:就可以获得其他密码？(hash function应该是公开的?) 07/09 16:12 : → kikiapple:(因为不能保证制造厂商不会流出hash function) 07/09 16:13 恩,不好意思 我前面讲的不对 http://en.wikipedia.org/wiki/One-time_password 这边讲的是说,密码是反方向出现的, 而且hash function 的inverse很难算, 所以知道h(h(s)) 没办法算回去s 另外,其实如果是正向的出现,也有很简单的方法可以解决 在token上面设定一个使用者跟银行才知道的passphrase... 每次hash的时候...都把密码加上passphrase再hash 这时候,如果有人知道你的连续两次密码 s1,s2 s2=hash(s1+passphrase) 他就要开始来猜你的passphrase是多少... 弄个长一点的passphrase他就要猜很久了... 不过我是不知道有没有公司这样作拉... 有兴趣的人可以去看看RSA的产品 http://en.wikipedia.org/wiki/SecurID --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.123.102.254