: -- : ※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 140.123.102.254 : → micwang:根據渣打的說明，N的max應該是50 07/09 15:37 : → kikiapple:這樣感覺只要攔截到你一次的密碼 配合hash function 07/09 16:11 : → kikiapple:就可以獲得其他密碼？(hash function應該是公開的?) 07/09 16:12 : → kikiapple:(因為不能保證製造廠商不會流出hash function) 07/09 16:13 恩,不好意思 我前面講的不對 http://en.wikipedia.org/wiki/One-time_password 這邊講的是說,密碼是反方向出現的, 而且hash function 的inverse很難算, 所以知道h(h(s)) 沒辦法算回去s 另外,其實如果是正向的出現,也有很簡單的方法可以解決 在token上面設定一個使用者跟銀行才知道的passphrase... 每次hash的時候...都把密碼加上passphrase再hash 這時候,如果有人知道你的連續兩次密碼 s1,s2 s2=hash(s1+passphrase) 他就要開始來猜你的passphrase是多少... 弄個長一點的passphrase他就要猜很久了... 不過我是不知道有沒有公司這樣作拉... 有興趣的人可以去看看RSA的產品 http://en.wikipedia.org/wiki/SecurID -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.123.102.254