Enrichissement Otp pour lien dynamique - Pas de langue spécifique

Question

pour mon site web Je génère un mot de passe à usage unique en utilisant un jeton matériel basé sur le temps (pas de clavier).

La nouvelle exigence est de générer et d'accepter un code lié au montant de la transaction.

Pour ce faire en utilisant les mêmes jetons matériels, puis-je enrichir otp accepté demandant d'insérer des chiffres?

Par exemple, pour une transaction de 192 $ et la valeur à usage unique généré « 123456 », le serveur dit: « ajouter 2 chiffres du montant au-dessus » et l'utilisateur doit insérer la valeur 19123456.

L'autre par exemple si la transaction est de 4 $ et la valeur générée otp est "456456" le serveur pourrait dire "ajouter 3 chiffres du montant à la fin" et l'utilisateur doit insérer la valeur "456456004"

-il sécurisé/sûr?

Existe-t-il quelque chose de similaire?

Merci beaucoup

Answer 1

Si vous souhaitez utiliser le même ordre d'idées - ce qui pourrait être une astuce, un montant sera protégé. Mais que faire si quelqu'un va changer la monnaie ou le destinataire du paiement? Pour une meilleure sécurité, je suggère de considérer l'algorithme OCRA (RFC 6287), qui est conçu pour générer des OTP en fonction des données de transaction. L'avantage d'une telle approche est que beaucoup plus de données pourraient être impliquées dans la génération d'OTP et protégées contre le piratage de cette manière. Dans le même temps, un utilisateur reçoit toujours le code de la même longueur.

Il existe de nombreuses options pour protéger les données des transactions, comme CWYS (Confirmer ce que vous voyez) et autres, avec des jetons logiciels et matériels.