我不必担心生成令人难以置信的强大一次性密码。设置较长的密码,如果您限制密码的有效期限,那么蛮力应该不是问题。如果密码仅在1个小时内有效,那么如果密码未使用则不会有问题。在这段时间内,不太可能有人会用蛮力破解它。
同样重要的是,您只能一次使用一次密码。这样,如果密码被截获,用户将在一次密码到期时注意到并可以采取适当的措施。
我会选择Apache Commons
RandomStringUtils,并让密码为10-15个字母和数字的字符。
…尽管这始终是您想要变得多么偏执的问题。该解决方案对于常规的Web应用程序来说很好,但对于银行来说却不够好…
