首页
学习
活动
专区
工具
TVP
发布
社区首页 >问答首页 >亚马逊如何确保其6位一次密码的安全?

亚马逊如何确保其6位一次密码的安全?
EN

Security用户
提问于 2020-07-01 05:17:42
回答 1查看 807关注 0票数 3

我注意到Amazon的密码重置依赖于一个6位数字的数字PIN。这难道不把每个用户的帐户减少到1/ 10^5~在几次重试(请求OTP重试)中通过蛮力猜测分解访问的可能性吗?

似乎他们在此之前设置了一个captcha,并且可能会在OTP到期时有一些超时时间,或者当过多的尝试会锁定帐户以避免进一步的重试时,会出现一些未指定的限制。不过,对我来说,这似乎不是个好主意。我认为Google使用了8个字符和多个字符集(小写、大写、数字、符号),这似乎是我实现这样的东西的方式。

在我自己的web应用程序中,有什么最好的方法来实现类似的6位数字PIN密码重置机制?或者这是个坏主意?

EN

回答 1

Security用户

发布于 2020-07-01 10:01:42

我注意到Amazon的密码重置依赖于一个6位数字的数字PIN。这难道不把每个用户的帐户减少到1/ 10^5~在几次重试(请求OTP重试)中通过蛮力猜测分解访问的可能性吗?

在面值,是的,它允许相对有效的畜生强迫。然而,他们将有一个有限的时间,当该代码是有效的,并且很可能是b)一种防止重复提交的方法(比如通常的CAPTCHA测试,但可能只是限制响应)。

似乎他们在此之前设置了一个captcha,并且可能会在OTP到期时有一些超时时间,或者当过多的尝试会锁定帐户以避免进一步的重试时,会出现一些未指定的限制。

所以你知道答案。

不过,对我来说,这似乎不是个好主意。

想办法打破它并向他们披露。我发现它是相当坚实的,因为它是为了这个功能。一次代码可以简单有效地使用,只要有措施防止蛮力。

票数 2
EN
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://security.stackexchange.com/questions/234036

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档