我注意到Amazon的密码重置依赖于一个6位数字的数字PIN。这难道不把每个用户的帐户减少到1/ 10^5~在几次重试(请求OTP重试)中通过蛮力猜测分解访问的可能性吗?
似乎他们在此之前设置了一个captcha,并且可能会在OTP到期时有一些超时时间,或者当过多的尝试会锁定帐户以避免进一步的重试时,会出现一些未指定的限制。不过,对我来说,这似乎不是个好主意。我认为Google使用了8个字符和多个字符集(小写、大写、数字、符号),这似乎是我实现这样的东西的方式。
在我自己的web应用程序中,有什么最好的方法来实现类似的6位数字PIN密码重置机制?或者这是个坏主意?
发布于 2020-07-01 10:01:42
我注意到Amazon的密码重置依赖于一个6位数字的数字PIN。这难道不把每个用户的帐户减少到1/ 10^5~在几次重试(请求OTP重试)中通过蛮力猜测分解访问的可能性吗?
在面值,是的,它允许相对有效的畜生强迫。然而,他们将有一个有限的时间,当该代码是有效的,并且很可能是b)一种防止重复提交的方法(比如通常的CAPTCHA测试,但可能只是限制响应)。
似乎他们在此之前设置了一个captcha,并且可能会在OTP到期时有一些超时时间,或者当过多的尝试会锁定帐户以避免进一步的重试时,会出现一些未指定的限制。
所以你知道答案。
不过,对我来说,这似乎不是个好主意。
想办法打破它并向他们披露。我发现它是相当坚实的,因为它是为了这个功能。一次代码可以简单有效地使用,只要有措施防止蛮力。
https://security.stackexchange.com/questions/234036
复制相似问题