支付宝手机验证没有了怎么没有手机令宝了?

来源:蜘蛛抓取(WebSpider) 时间:2015-09-17 11:03 标签: 手机支付宝没有借呗
支付宝钱包的手机宝令是怎样的工作机制?如何实现停机也能使用的?
按投票排序
如果我自己来设计这个功能,我将这样设计:1,支付宝服务器端,肯定有一个由时间戳,用户名(至少这两个因素,更可能还加了一组少数人掌握的算法密钥)而生成的口令列表(也可能是即时生成的,这样可以减少存储空间,也更安全,防止内部员工作弊,但出问题时候排查问题较麻烦)2,手机宝令有两种方式取得这个动态口令:a),启动后,验证用户登录态的合法性,再发送用户名给服务器,取得加密后的口令,再根据算法在本地解密得到口令。这个会增加一些网络流量。b),启动后,验证用户登录态的合法性,从服务器取得必要的参数(比如算法密钥,有效期比如说两个小时),在本地计算出口令。这样做,好处是减少网络通信,但安全性相对来说差一些。上述两点在安全性较好,做到了和服务器通信。再讨论停机(就是和服务器没有通信)也能使用的方案:在用户下载安装软件的时候,可以为这个app生成一个独一无二的(和帐户名相关)的密钥,这个密钥保证了这个app只为你的帐号产生口令。在服务器端也同时保留一样的密钥,同样的口令产生算法,方便校对。很多银行采取了这种类似停机也能使用的实物口令卡,由于涉及到时间这个参数,会有校对时间这一操作。这个方案的好处是简单,成本低,维护容易。但坏处是,理论上会被破解。希望有内部人员或者安全行业的知友 分享下。
最近在公司在做这个功能,还上知乎来搜了一圈。在下目前算法已经实现了,所以过来分享一下。6位宝令其实就是在固定时间区间内算出唯一的数字码。算法叫做TOTP。不过TOTP的核心部分叫做HOTP。这个是银行等实物令牌的一般实现。HOTP(T,C) = Truncate(HMAC-SHA(T,C))T是时间戳参数,C是用户的身份标识。标准的HOTP算法分以下几步。首先通过HMAC-SHA-1(HMAC-SHA-256|HMAC-SHA-512)算法根据T,C的值计算出一段字符串HS。然后再将HS进行动态截取。动态截取可以根据HS中某个固定下标的值计算出截取的开始下标。然后取连续4字节的数据。
-------------------------------------------------------------
| Byte Number
-------------------------------------------------------------
|00|01|02|03|04|05|06|07|08|09|10|11|12|13|14|15|16|17|18|19|
-------------------------------------------------------------
| Byte Value
-------------------------------------------------------------
|1f|86|98|69|0e|02|ca|16|61|85|50|ef|7f|19|da|8e|94|5b|55|5a|
比如上面就是某次计算生成的HS值。那么可以取第19位,值为5a。然后对其进行&运算。因为总长度是20位,所以&运算的为5a&16,得到下标为10。再从10开始取得连续4位的值即0x50ef7f19,将其转换为10进制。 int code = (0x50
& 0x7f) && 24
| (0xef & 0xff) && 16
| (0x7f & 0xff) &&
| (0x19 & 0xff) ;
最后的OTP值就是将code根据你要取的口令位数取余。比如一般都是6位密码,就要得到除以1000000的余数。上面就是这个算法的核心部分。因为涉及到安全性问题,所以算法中C的设计尤为重要。大概思路就是客户端开通的时候根据用户ID,密码,设备唯一ID等几个因素计算出一个秘钥推给服务端。这样每个用户有单独的秘钥,而秘钥又是跟设备绑定的。所以除非你的账户信息、设备信息、算法的加密细节全部被盗才会在其他地方计算出你的宝令。P.S.各家的验证规则还不太一样,比如QQ的宝令就是上面的机制,所以每次进去显示的剩余时间不一样。而支付宝每次点进去都显示30s,应该就是服务端30s算一个令牌,但是有效期是1分钟。TOTP算法,具体详见支付宝购物用手机令牌-55BBS 我爱购物网
&&支付宝购物用手机令牌
支付宝购物用手机令牌
先要在你的银行卡所在的银行网站看准确在支付宝账户付款
4条其他回答
先要在你的银行卡所在的银行网站看准确
持身份证和银行卡到银行柜台开通网上银行购买U盾(需下载数字证书)或口令卡下载网银控件设置网银登录密码要填写银行卡号为支付宝账户充值
您好,中国邮政储蓄银行的银行卡本身不具有网上支付功能,需要开通支付宝卡通或个人网上银行等网上支付功能;使用支付宝卡通进行网上支付,支付宝会在您日累计支付金额超过200元限额时,提示您通过安装数字证书或输入支付宝短信校验码的方式进行付款,邮政储蓄银行也会在每笔交易完成后为您免费发送扣款短信;个人网上银行有三种安全认证方式:手机短信、短信+电子令牌、短信+ukey,客户任意办理其中一种即可实现网上支付功能;希望我的回答对您有所帮助
一次不要向支付宝里充过多钱,够一次购物支付就行,现网购订货现充值支付宝;我是先订货后出价钱了稍后几小时,再由网银转账充值支付宝(刚够或多几元),钱转入支付宝后就应立即凭支付密码付款给卖家,不需申请支付宝手机动态密码,支付安全由网银来保证,我的网银支付是“手机动态密码”+“动态口令牌”,双重安全。注意,支付宝绑定手机不要与网银绑定手机同号,我是二个不同手机号码。还可以每次支付宝付款后,用绑定手机更改支付密码
扫描下载客户端支付宝手机宝令是什么?手机宝令怎么添加?
手机宝令是支付宝推出的,安装在手机客户端上的一个基于动态口令的安全认证产品,申请成功后,打开手机宝令后,界面上会显示6位数字的动态口令,每30秒更新一次,确保您的账户资金更加安全
手机宝令是什么?怎么添加?经常使用支付宝的朋友肯定会遇到这样的问题。手机宝令是支付宝推出的,安装在手机客户端上的一个基于动态口令的安全认证产品,申请成功后,打开手机宝令后,界面上会显示6位数字的动态口令,每30秒更新一次,确保您的账户资金更加安全。那么支付宝手机宝令怎么添加呢?下面跟小编一起看看支付宝手机宝令怎么添加的吧!
1)打开支付宝软件,进入支付宝主页后点击&更多&。
2)点击&更多&后进入&应用中心&,在&应用中心&上找到并打开&手机宝今&。最后点击添加到我的应用。这样支付宝手机宝令就己经添加了。

我要回帖

更多关于 手机支付宝没有借呗 的文章

 

随机推荐