Security 银行在其密码生成器令牌上使用哪种OTP（一次性密码）算法？_Security_Encryption_Hash_Passwords_Onlinebanking

Security 银行在其密码生成器令牌上使用哪种OTP（一次性密码）算法？

security encryption hash passwords

Security 银行在其密码生成器令牌上使用哪种OTP（一次性密码）算法？,security,encryption,hash,passwords,onlinebanking,Security,Encryption,Hash,Passwords,Onlinebanking,许多银行提供一些令牌设备，以便创建一次性使用的密码。我想知道他们使用哪种OTP算法？是HOTP还是TOTP？他们可以使用任何他们想要的，任何他们选择的哈希函数。同时使用HOTP和TOTP。参见RFC 4226和RFC 6238。我曾经拥有一张完全符合RFC 4226的HOTP算法的测试卡，可以将其用于身份验证解决方案（该卡提供了密钥）。正如艾奥廷佐夫所说，答案无法概括，但技术的选择确实取决于银行。我猜是TOTP。但让我给出一个选择的理由。 TOTP不再需要客户端和服务器在事件计数器上保持同步，而

许多银行提供一些令牌设备，以便创建一次性使用的密码。我想知道他们使用哪种OTP算法？是HOTP还是TOTP？

他们可以使用任何他们想要的，任何他们选择的哈希函数。同时使用HOTP和TOTP。参见RFC 4226和RFC 6238。我曾经拥有一张完全符合RFC 4226的HOTP算法的测试卡，可以将其用于身份验证解决方案（该卡提供了密钥）。

正如艾奥廷佐夫所说，答案无法概括，但技术的选择确实取决于银行。我猜是TOTP。但让我给出一个选择的理由。

TOTP不再需要客户端和服务器在事件计数器上保持同步，而是使用Unix时间戳。该算法允许服务器选择它认为可以接受的传入时间戳的距离，以便校正时钟漂移

当你从银行收到OTP时，它通常会说你应该在一定期限内使用该OTP，在该期限到期后。如果银行使用

HOTP

，OTP不需要在一段时间间隔后过期，而只会在您提出另一个请求（增加计数器）后过期

因此，下次您收到OTP时，如果没有要求您在时间限制内使用它，请确保它是使用

HOTP

生成的，这肯定会根据所涉及的银行而有所不同？我不认为地球上的每家银行都使用一个单一的标准，所以这个问题无法真正得到回答。（如果是的话，我希望能找到一个可靠的信息来源和答案。）很好的理由！因为正如您所说，输入密码有时间限制，所以他们应该实现基于时钟的系统。谢谢你周到的答复。