TOTP 算法是否依赖于始终正确同步的客户端时间?
Does the TOTP Algorithm rely on the client time always being synced correctly?
如果手机时钟/日历由于某种原因关闭了很长一段时间,会发生什么情况。 TOTP(基于时间的 OTP)算法是否生成无效令牌?时区是否也在令牌正确中发挥作用,或者客户端和服务器是否都与 Network Time Protocol 服务器通信以确保一切同步?
是的,如果时钟不同步,那么 totp 将不会生效。但是除非你知道客户端时钟是错误的而服务器时钟是正确的,否则说令牌无效在语义上是不正确的。
不,只要系统设置正确,时区就无关紧要——两台设备的哈希值都应基于共同的数据。通常使用 UTC 或 GMT。有可能让您的计算机显示正确的挂钟时间,但配置在错误的时区。如果是这种情况,它将无法正确地将时间转换为通用时区。
使用 NTP 是保持准确时间的一种解决方案(如果您有互联网连接,也是一种便宜的解决方案),但还有其他解决方案。
身份验证支持多少时钟抖动取决于实现的算法。
如果手机时钟/日历由于某种原因关闭了很长一段时间,会发生什么情况。 TOTP(基于时间的 OTP)算法是否生成无效令牌?时区是否也在令牌正确中发挥作用,或者客户端和服务器是否都与 Network Time Protocol 服务器通信以确保一切同步?
是的,如果时钟不同步,那么 totp 将不会生效。但是除非你知道客户端时钟是错误的而服务器时钟是正确的,否则说令牌无效在语义上是不正确的。
不,只要系统设置正确,时区就无关紧要——两台设备的哈希值都应基于共同的数据。通常使用 UTC 或 GMT。有可能让您的计算机显示正确的挂钟时间,但配置在错误的时区。如果是这种情况,它将无法正确地将时间转换为通用时区。
使用 NTP 是保持准确时间的一种解决方案(如果您有互联网连接,也是一种便宜的解决方案),但还有其他解决方案。
身份验证支持多少时钟抖动取决于实现的算法。