如果攻击者可以碰触到实体 token 并取出 secret key,他就可以准备一颗新的 token (HSM,Hardware security module) 把取出来的 secret key 灌进去,而原来的使用者不太容易会发现…
所以硬件式的 OTP 系统除了提供一次性密码外,另外需要有能力阻挡从硬件取出 secret key 的能力。这次有能力在 13 分钟就取出来,表示有不少辛苦事情要善后了…
作者/Gea-Suan Lin
如果攻击者可以碰触到实体 token 并取出 secret key,他就可以准备一颗新的 token (HSM,Hardware security module) 把取出来的 secret key 灌进去,而原来的使用者不太容易会发现…
所以硬件式的 OTP 系统除了提供一次性密码外,另外需要有能力阻挡从硬件取出 secret key 的能力。这次有能力在 13 分钟就取出来,表示有不少辛苦事情要善后了…
作者/Gea-Suan Lin