Как обеспечена единовременная доставка пароля

Question

Я прочитал другие сообщения на StackOverflow и других веб-сайтах, связанных с одноразовыми паролями. Я читал о RFC 6238 - TOTP и RFC 4226 - HOTP.

Я понимаю, что OTP не хранятся в открытом тексте в базе данных, а когда они отправляются через SMS-шлюзы на мобильный клиент. Они должны быть в открытом виде.

Итак, не можете ли мужчины посередине, скажем, человек в SMS-шлюзе, читать эти ОТП?

Как банки и другие организации делают это надежно?

Answer 1

GSM использует шифрование в своих сигналах. поэтому его трудно декодировать, но если вы знаете информацию SIM CARD и к которой BTS заперта, а Hacker также находится в этом диапазоне BTS, тогда вы можете увидеть свое SMS, используя логику описания. Это потребовало времени и знаний для сокращения. Таким образом, TOTP защищен на 99,9%.

позволяет говорить о шлюзах

1. Они могут быть внутри банков Local/VPN сети в целях безопасности.
2. Может использовать шифрование SSL/TLS для обеспечения безопасной связи от банковской системы до шлюзов GSM.

Людей в SMS шлюзах

да они могут видеть. но если у них нет того, кто является получателем, или то, что текст трудно найти, так как в шлюзах обычно происходит поток sms. В любом случае банк может договориться с sms-шлюзами, чтобы не регистрировать OTP-SMS в системе, поэтому человек в sms-шлюзе не может видеть эти sms.