web-dev-qa-db-ja.com

パスワード追加OTP検証はどのように機能しますか?

最近、いくつかのAmazonアカウント設定を変更しているときに、OTPをパスワードに追加することでOTPを検証するオプションが提供されていることに気付きました。パスワードが一方向にハッシュされている場合、これはどのように機能しますか?

A screenshot of the Amazon OTP guidance

passwordsweb-applicationhashone-time-password
2
Den Delimarsky

パスワードはアプリケーションではなくサーバーでハッシュされます。サーバーは(クライアントとサーバー間のHTTPSで保護された)パスワード+ OTPトークンを平文で取得し、これからパスワードとOTPトークンの両方を抽出して、通常のパスワード検証を続行できます。

3
Steffen Ullrich

これは一方向のハッシュとして保存されるため、AmazonはOTPの部分の長さを知っているので、ハッシュされたバージョンを生成する前に、入力した内容を切り捨てて、保存されているものと比較します。

1
symcbean