6. Resynchronization (Neusynchronisierung)
6. Resynchronization (Neusynchronisierung)
Aufgrund möglicher Uhrabweichungen zwischen einem Client und einem Validierungsserver EMPFEHLEN wir, dass der Validator mit einer spezifischen Grenze für die Anzahl der Zeitschritte eingestellt wird, die ein Beweiser "außer Synchronisation" sein kann, bevor er abgelehnt wird.
Diese Grenze kann sowohl vorwärts als auch rückwärts vom berechneten Zeitschritt beim Empfang des OTP-Werts festgelegt werden. Wenn der Zeitschritt wie empfohlen 30 Sekunden beträgt und der Validator so eingestellt ist, dass er nur zwei Zeitschritte rückwärts akzeptiert, dann würde die maximale verstrichene Zeitabweichung etwa 89 Sekunden betragen, d.h. 29 Sekunden im berechneten Zeitschritt und 60 Sekunden für zwei rückwärtige Zeitschritte.
Dies würde bedeuten, dass der Validator eine Validierung gegen die aktuelle Zeit durchführen und dann zwei weitere Validierungen für jeden Rückwärtsschritt durchführen könnte (insgesamt 3 Validierungen). Bei erfolgreicher Validierung kann der Validierungsserver die erkannte Uhrabweichung für das Token in Bezug auf die Anzahl der Zeitschritte aufzeichnen. Wenn nach diesem Schritt ein neues OTP empfangen wird, kann der Validator das OTP mit dem aktuellen Zeitstempel validieren, der mit der aufgezeichneten Anzahl von Zeitschritt-Uhrabweichungen für das Token angepasst wurde.
Es ist auch wichtig zu beachten, dass je länger ein Beweiser kein OTP an ein Validierungssystem gesendet hat, desto länger (potenziell) die akkumulierte Uhrabweichung zwischen dem Beweiser und dem Verifizierer ist. In solchen Fällen funktioniert die oben beschriebene automatische Neusynchronisierung möglicherweise nicht, wenn die Abweichung den zulässigen Schwellenwert überschreitet. Zusätzliche Authentifizierungsmaßnahmen sollten verwendet werden, um den Beweiser sicher zu authentifizieren und die Uhrabweichung zwischen dem Beweiser und dem Validator explizit neu zu synchronisieren.