常見的離線硬件令牌屬於離線時間同步級別。這樣的硬件往往有壹個可靠的內部時鐘,在其有效期內很難被篡改而不被檢測到,其密鑰也很難被讀出,所以服務器在其有效期內相信其有效性。所以服務器信任自己的時鐘到第二級,也就是服務器在十秒內認為時鐘差正常的話。因為這種令牌是離線的,服務器無法知道它的工作狀態,只能通過用戶每次使用時出示的令牌內部時鐘範圍來知道它是否正常工作。因此,如果令牌長時間不使用,服務器將有理由相信令牌可能無效。就像壹個久違的好朋友突然重新出現要錢,妳可能不敢直接答應,服務器會主動停止使用代幣。這個周期壹般是半年到壹年。當然,在其他情況下,服務器也可以直接判這個令牌死刑。例如,如果用戶輸入了來自遙遠未來的密碼,那麽令牌的時鐘顯然有問題。類似地,如果用戶輸入很久以前的密碼,它也將被禁用。這個令牌服務器不會做任何事情來調整時鐘。由於這類令牌的密碼更新周期壹般在壹分鐘左右,時間偏差較大,用戶輸入時間不確定,如果引入校準,會給攻擊者提供可能的突破點。常見的軟件令牌,包括紙密卡,都是離線時間異步的。雖然看起來軟件可以在線,但是因為非常容易作弊,服務器無法直接確定軟件是否真的在線(比如中間被人攻擊)或者它的時鐘是否壹直同步(比如用虛擬機篡改時鐘),所以認為是離線,時間上不同步。
上一篇:經過360加固的安卓程序該如何破解反編譯後什麽代碼都找不到下一篇:杭州育新高級中學學費多少?