0
나는 웹 응용 프로그램을 작성 중이며 특정 작업을 위해 대부분의 은행 웹 사이트와 유사한 OTP (One Time Pin)를 입력해야합니다.세션에 OTP를 저장하는 것이 안전합니까?
그래서 임의의 문자열을 생성하고, 어딘가에 저장하고, 사용자에게 보내고, 저장된 핀에 대해 입력 된 핀의 유효성을 검사해야합니다.
생성 된 문자열을 ASP 세션 개체에 저장하는 것이 안전합니까?
A
답변
0
세션은 클라이언트에서 액세스 할 수없는 서버 측 모음입니다 (쿠키/viewstate와 반대). 그것은 클라이언트 조작으로부터 자유로 워야합니다.
아직도 OTP를 데이터베이스에 저장하고 비교해야한다고 생각합니다.
1
메모리 내 세션 데이터는 웹 팜의 다른 웹 서버로 전송할 수 없으므로이 사이트를 확장해야하는 경우 OTP를 웹 서버에서 분리해야 할 수 있습니다. 물론 끈적 거리는 세션을 사용하지 않는 한.
4
PIN을 저장하지 마십시오. 해시 (SHA 알고리즘 중 하나, 가능하면 소금) 해쉬를 저장하십시오. 그런 다음 사용자가 입력 한 해시를 사용자가 저장 한 해시와 비교합니다. 그런 다음 저장소 (세션 개체, 일부 데이터베이스 등)가 손상된 경우 공격자는 PIN이 무엇인지 알지 못합니다.
+0
좋은 아이디어 감사합니다. –
관련 문제
- 1. 세션에 값을 저장하는 것이 안전합니까?
- 2. XML로 데이터를 저장하는 것이 안전합니까?
- 3. 신용 카드 정보를 세션에 저장하는 것이 'OK'입니까?
- 4. 구성 요소에 무언가를 저장하는 것이 안전합니까?
- 5. 레일 : "세션"에 데이터를 저장하는 것이 안전합니까?
- 6. 사용자 개체를 쿠키에 저장하는 것이 안전합니까?
- 7. 쿠키에 해시 된 비밀번호를 저장하는 것이 안전합니까?
- 8. iPad/iPhone의 사용자 세션 중에 보안 키를 저장하는 것이 안전합니까?
- 9. 세션에 오히려 많은 양의 데이터를 저장하는 것이 좋습니까?
- 10. SetEnv 또는 php.ini에서 DB 변수를 저장하는 것이 얼마나 안전합니까?
- 11. ASP.NET에서 SetAuthCookie()를 사용하여 userId 만 저장하는 것이 안전합니까?
- 12. OpenID : 주장 된 ID를 쿠키에 안전하게 저장하는 것이 왜 안전합니까?
- 13. WordprocessingML 문서를 Subversion에 저장하고 버전을 저장하는 것이 안전합니까?
- 14. Attributes 컬렉션을 사용하여 추가 데이터를 저장하는 것이 안전합니까?
- 15. 데이터베이스 또는 파일을 사용하여 저장하는 것이 더 안전합니까?
- 16. 세션 종료 후 Entity Bean에 대한 참조를 저장하는 것이 안전합니까?
- 17. 선언 된 객체를 전역 QList에 저장하는 것이 안전합니까?
- 18. CancellationToken.None에 등록하는 것이 안전합니까?
- 19. 휘발유를 버리는 것이 안전합니까?
- 20. 옵서버에서 세션에 액세스하는 것이 좋습니까?
- 21. 동일한 URL로 리디렉션하는 것이 안전합니까?
- 22. Drush를 사용하는 것이 얼마나 안전합니까?
- 23. 무료 메서드를 재정의하는 것이 안전합니까?
- 24. init에서 블록을 선언하는 것이 안전합니까?
- 25. 열린 파일을 제거하는 것이 안전합니까()?
- 26. Passwordass에 패스워드를 입력하는 것이 안전합니까?
- 27. 현지화에 HttpModule을 사용하는 것이 안전합니까?
- 28. ThreadPool.RegisterWaitForSingleObject가있는 이벤트를 사용하는 것이 안전합니까?
- 29. NSThread를 공개하는 것이 언제 안전합니까?
- 30. Delphi에서 제네릭을 사용하는 것이 안전합니까?
왜 OTP를 데이터베이스에 저장하겠습니까? 나는 단지 일할 수있는 가장 단순한 일을하고 싶다. –
나는 Dokie가 이미 이것을 대답했다고 생각한다 ;-) – weismat
사용자가 브라우저를 닫고 티샷을 한 후 돌아와 사명을 완료하면 어떻게 될까? 세션 변수가 유실됩니다. 그러나 이것이 정확히 원하는 것이라면 세션은 정상적으로 작동합니다. –