Nu, fără o „cache de date” (locală), codul oferit de „asistență tehnică” nu poate depinde de „cel puțin un ID de utilizator (întreg) și data de expirare”.
Mai detaliat: Întrebarea cere o autentificare (o singură dată), unde
- intrarea poate fi furnizată cu ușurință de către un om, printr-un canal autentificat (care, de asemenea, nu este supus interceptării).
- aplicația nu are stocare persistentă/specifică utilizatorului.
Principala problemă pe care o văd este că „cache-ul de date este corupt”: pentru a verifica o intrare, un algoritm ar trebui să compare rezultatul cu o altă intrare.
De exemplu, luați în considerare o procedură de conectare bazată pe hash suprasimplificată:
Utilizatorul furnizează o parolă. Un algoritm ia ca intrare parola, împreună cu un șir furnizat de un cache de date; calculează hash-ul parolei și îl compară cu șirul.
Dacă nu există cache de date, atunci algoritmul poate utiliza numai codat dificil valori, adică valori care au fost livrate împreună cu aplicația și nu depind de intrarea utilizatorului.
Comentarii:
„deci data curentă ar putea funcționa ca un bloc unic.”
Rețineți că, pentru ca un tampon unic să fie perfect sigur, cheia trebuie să fie aleatorie.Acest lucru nu adaugă nicio securitate.
În afara domeniului de aplicare, deoarece acest lucru nu este considerat sigur, sau cu întrebarea în domeniul de aplicare al PO:
Dacă doriți o valoare codificată pentru o anumită zi, cea mai simplă modalitate de a face acest lucru ar fi să codificați imaginile unei funcții unidirecționale (instanțiate de o funcție hash criptografică) în aplicație.
Apoi, asistența tehnologică ar putea oferi o expresie de acces care poate fi citită de om (Cf. Stackexchange: Dicționar lung Passphrase, Stackexchange: De ce să folosiți caractere aleatorii în pw? ), unde asistența tehnică are o „frază de acces validă” pentru fiecare zi.
Fraza de acces poate fi furnizată ca intrare de către utilizator; a cărei imagine ar fi comparată cu valorile codificate greu asociate în acea zi. Cu toate acestea, acest lucru nu este sigur din mai multe motive:
(1) Valorile codificate greu
- ar fi același pentru toți utilizatorii, de ex. nu poate conține ID-ul utilizatorului
- odată ce o frază de acces este scursă, oricine cu poate accesa aplicația
(2) Data nu aduce cu adevărat siguranță, cu excepția faptului că adversarul ar trebui să știe că zile diferite au expresii de acces diferite.
Așa aș face-o recomand cu tărie împotriva acestui lucru.