Какой тип аутентификации выбрать для банковского мобильного приложения?

Question

Роман Сопов @sopov

Какой тип аутентификации выбрать для банковского мобильного приложения?

Какой тип аутентификации выбрать для банковского мобильного приложения?
Чтобы надежно и современно.

Вопрос задан более трёх лет назад
420 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Помогут разобраться в теме Все курсы

Яндекс Практикум

Специалист по информационной безопасности: веб-пентест

6 месяцев

Далее
Merion Academy

Онлайн-курс по кибербезопасности

2 месяца

Далее
Merion Academy

Этичный хакинг

4 месяца

Далее

Пригласить эксперта

Ответы на вопрос 1

2 комментария

Роман Сопов @sopov Автор вопроса

Подписывается каждый запрос API, верно?

Написано более трёх лет назад
xmoonlight @xmoonlight

Роман Сопов:
1. исходное состояние: сервер знает соль, функцию и auth-данные, клиент - функцию и auth-данные.

2. после получения от сервера хэш-подписи и ID-сессии (успешной авторизации) - мы мы формирует подпись данных (хэш-подпись на основе полученного ключа (key) после авторизации), с использованием случайного числа с плавающей точкой и таймера (временной засечкой).

3. после получения пакета - сервер проверяет что:
3.1 таймер сообщения не истёк
3.2 хэш-подпись сообщения совпадает с подсчетами сервера
3.3 время жизни сессии не истекло (иначе - переинициализация сессии)
Если все ОК - пропускает на исполнение.

4. В ответ на каждый API-запрос - сервер возвращает статус и генерирует новый ключ (имя сессии - в этом случае не передаётся).

Написано более трёх лет назад