Как безопасно генерировать код подтверждения на стороне сервера?

Question

[Anonymous]

Здравствуйте. Пишу сайт, необходимо сделать при регистрации активацию по коду подтверждения, который должен приходить по почте. Как можно сделать, чтобы код подтверждения безопасно генерировался на сервере и отправлялся по почте?

Реализовать это не проблема, я не могу продумать как сделать, чтобы была безопасность.

Comments

[Anonymous]

Dr. Bacon, Видел в Гугле, что есть безопасные, а есть уязвимые механизмы генерации и отправления кодов подтверждения.

Answer 1

[mitya_k]

Самое простое это создать таблицу для авторизационных кодов с временем жизни (ttl):

id | auth_code | ttl
1  | 345679    | 2023-01-18 20:03:00

У каждого пользователя должен быть уникальный код и в каждый момент времени должен быть только один код для пользователя (при выдаче нового, старые удаляй).
Когда пришел запрос на авторизацию проверяй, что

body.user_id === user_id && body.auth_code === auth_code && new Date() < new Date(ttl)

Надо не забывать, что использованные коды надо удалять.

Comments

[Владимир Дубровин]

для генерации кода используйте /dev/urandom или криптографически стойкие ГПСЧ, длину кода делайте такой чтобы было не менее ~100 бит. Если необходимо делать короткие коды, то обязательно ограничивайте количество попыток на пользователя и делайте рейтлимиты на ip в единицу времени

Answer 2

[Алексей Панин]

А в чем сложность?
Что-нибудь типа:
$code = md5($mail.time().$salt.rand())

Comments

[Anonymous]

А зачем хешировать код? Как тогда человек получит его по почте?

[Anonymous]

Да и тут у нас не шарп, а JS.

[Владимир Дубровин]

rand() не является криптографическим ГПСЧ и его значение можно угадать или вычислить. Поскольку код подтверждения генерируется по событию пользователя, атакующий при таком способе генерации кода будет знать его время генерации и может вычислить код не имея доступа к письму с подтверждением