HOTP认证中的去同步检测

Question

在HOTP身份验证中，系统是否有检测令牌已去同步的方法？如果是这样的话，它如何知道OTP是从去同步(但有效)令牌生成的，而不仅仅是一个假的/随机的OTP？

Answer 1

来自RFC 4226：

7.4。虽然服务器的计数器值只有在成功的HOTP身份验证之后才会增加，但是令牌is上的计数器每次被用户请求时都会增加。在此Because中，服务器和令牌上的计数器值可能会导致be不同步。我们建议在服务器上设置前瞻性参数S，它定义了前瞻性窗口的大小。简而言之，服务器可以重新计算下一个S HOTP -服务器值，并根据接收到的HOTP客户端检查它们。此场景中计数器的同步只需服务器计算下一个HOTP值并确定是否有a匹配。可选地，系统可能要求用户发送(例如，2，3) HOTP值的a序列进行再同步，由于伪造连续HOTP值序列甚至比猜测单个HOTP值还要困难。参数S设置的上限确保服务器不会永远检查HOTP值(导致拒绝服务攻击)，还限制了试图生成HOTP值的攻击者的可能解决方案空间。S应该尽可能低，同时也要确保可用性不受影响。