OneSpan Sign Release 11.22: OTP-Ablauffunktion

Version 11.22 von OneSpan Sign wurde kürzlich in der Vorschau- und Sandbox-Umgebung bereitgestellt. In dieser neuen Version haben wir ein Ablaufzeitlimit für Einmalkennwörter (OTPs) hinzugefügt, wenn ein Unterzeichner die SMS-Authentifizierung verwendet. Wir haben auch die Unterstützung für Internet Explorer 9 und 10 in der neuen Benutzererfahrung eingestellt, dem Unterzeichner ermöglicht, optionale Titel- und Unternehmensinformationen hinzuzufügen, wenn ein Unterzeichner während der Unterzeichnungszeremonie geändert wird, und die API erweitert, um mehrere Dokumente in einem Anruf zu löschen. Schließlich haben wir noch einige Fehlerbehebungen hinzugefügt. Die Bereitstellungstermine für alle unsere Umgebungen finden Sie auf unserer Trustcenter Seite.

In diesem Blog werden wir das neue Ablaufzeitlimit für das SMS-OTP behandeln und uns mit den Implementierungsdetails und APIs / SDK-Funktionen im Zusammenhang mit der SMS-Authentifizierung befassen.

Was wird zu OTP hinzugefügt?

Wenn OTPs nicht ablaufen, kann ein Angreifer, der Zugriff auf das Gerät eines Benutzers erhält, mehrere OTPs abrufen und diese Passcodes in Zukunft wiederverwenden. Um diese Art von Sicherheitsrisiko zu vermeiden, ist die OTP-Ablauffunktion jetzt in der Version 11.22 verfügbar. Unten sehen Sie ein Bild davon, was Sie erwartet, wenn ein SMS-Passcode nach Ablauf verwendet wird.

Hinweis:

• Die Standardeinstellung für das Zeitlimit beträgt 5 Minuten, wie von empfohlen US Nationales Institut für Standards und Technologie (NIST) . Standardmäßig ist der OTP-Ablauf auf Kontoebene aktiviert.
  
  

• Die Timeout-Einstellung des Codes kann über unsere konfiguriert werden Support-team .
  
  

• Der konfigurierbare Zeitlimitbereich liegt zwischen 0 und 90 Minuten.

Wenn der Code abgelaufen ist oder wenn Ihre Unterzeichner ihren Code verloren oder vergessen haben, können sie einfach einen neuen anfordern, indem Sie den Anweisungen in der Unterzeichnungszeremonie folgen.

Der neue Code startet eine neue Ablauffrist und der ursprüngliche Code läuft sofort ab, auch wenn die ursprüngliche Ablauffrist noch nicht abgelaufen ist.

Eine zusätzliche Implementierung der reCAPTCHA-Überprüfung wird erwartet, wenn ein Benutzer sowohl in der Desktop- als auch in der mobilen Signaturzeremonie ein neues OTP per SMS anfordert.

Versuche, sich mit einem abgelaufenen OTP-Code anzumelden, werden auf die Gesamtzahl der Fehlerversuche angerechnet. Das heißt, nachdem die Anzahl der Anmeldeversuche ein Maximum erreicht hat, sollte das Konto gesperrt werden und der Unterzeichner wird informiert.

Senden Sie den SMS-Code programmgesteuert erneut

Zusätzlich zu der Möglichkeit der Unterzeichner, einen OTP-Resend von der Seite der Signaturzeremonie anzufordern, haben Absender auch die Möglichkeit, einen Code an einzelne Unterzeichner in der Transaktion erneut zu senden. Wenn dies erledigt ist, wird ein neuer Code mit einer neuen Ablaufzeit gesendet.

Unten sehen Sie, wie Sie eine SMS-Benachrichtigung manuell per Code senden:

Java SDK:

eslClient.getPackageService (). sendSmsToSigner (packageId, retrievedPackage.getSigner (email1));

.Net SDK:

eslClient.PackageService.SendSmsToSigner (packageId, retrievedPackage.GetSigner (email1));

REST-Anruf:

HTTP-Anfrage
POST / api / packages / {packageId} / role / {roleId} / sms_notification

HTTP-Header
Akzeptieren: application / json
Inhaltstyp: application / json
Autorisierung: Basic api_key

Im heutigen Blog haben wir die neu hinzugefügten Implementierungen für die SMS-Authentifizierung durchgearbeitet und erläutert, was Sie beim Festlegen des OTP-Ablaufzeitraums erwarten können.

Wenn Sie Fragen zu diesem Blog oder zu anderen Aspekten der Integration von OneSpan Sign in Ihrer Anwendung haben, besuchen Sie die Entwickler-Community-Foren . Ihr Feedback ist uns wichtig!