Url 一个安全的一次性密码应该有多长时间？

接下来的问题是，被接受的答案暗示您不需要122位（例如UUID）就可以获得足够的安全随机性。

这取决于它的复杂程度，这实际上是不可猜测的

首先列出一个时间段，当猜测是如此不切实际，以至于实际上无法使用时，例如一年（365天）

将时间段除以通过邮件中的链接发出单个请求所需的时间。（即，不是单个请求响应的时间，而是您可以使用并行处理执行请求的频率。）例如，0.1秒，在一年的时间段内给出315360000个请求

乘以激活代码的数量，再乘以2，以补偿查找有效代码的平均时间。例如，100个代码给出6307200000个组合

---

例如，您需要36个随机位（236=68719476736）才能获得几乎不可猜测的代码。

一次性密码安全是什么意思？只要它在短得多的时间内失效，人们就可以用暴力猜测它，那么它应该是安全的。为了教育学的缘故，让我们忘掉一次性部分。给定适当的速率限制（比如，100次猜测/分钟），一个随机的base-64字符串实际上应该有多少字节是不可用的？你的意思是假设NSA没有内置后门？我不能确认或否认。这个密码应该由人记住或键入吗？如果不是的话，为了安全起见，你应该选择128位左右的，比如说5个字节？这比我想象的要少。再加上利率限制，时间可能会更短。