Wie ist One-Time-Passwort-Lieferung gesichert

Question

Ich habe andere Beiträge auf StackOverflow und anderen Websites im Zusammenhang mit den One Time Passwords gelesen. Ich habe über RFC 6238 - TOTP und RFC 4226 - HOTP gelesen.

Ich verstehe, OTPs sind nicht im Klartext in der Datenbank gespeichert, aber wenn sie über SMS-Gateways an das Mobiltelefon des Kunden gesendet werden. Sie müssen im Klartext sein.

Also, kann nicht ein Mann in der Mitte, sagen eine Person bei SMS Gateway, diese OTPs lesen?

Wie machen Banken und andere Organisationen das sicher?

Answer 1

GSM verwendet Verschlüsselung in seinen Signalen. Es ist also schwierig zu entschlüsseln, aber wenn Sie SIM-Karten-Details kennen und an welche BTS es angeschlossen ist und Hacker auch in diesem BTS-Bereich, dann ist es möglich, Ihre SMS mit der Beschreibungslogik zu sehen. Es brauchte Zeit und Wissen, um sich auszudrücken. So sind TOTP zu 99,9% sicher.

Lets Über Gateways Sprechen

1. Sie können aus Sicherheitsgründen innerhalb Banken Local/VPN-Netzwerk sein.
2. Kann SSL/TLS-Verschlüsselung verwenden, um eine sichere Kommunikation vom Bankensystem zu GSM-Gateways zu gewährleisten.

Person bei SMS GATEWAYS

ja sie sehen können. aber wenn sie nicht haben, wer der Empfänger ist oder was der Text ist, ist es schwierig, zu finden, weil in den Gateways die Flut der SMS gewöhnlich geschieht. Irgendeine Weise Bank kann Vereinbarung mit sms Gateways haben, um nicht OTP SMS in dort System zu notieren, also kann Person am sms Gateway diese sms nicht sehen.