6. Resynchronization (Risincronizzazione)

6. Resynchronization (Risincronizzazione)

A causa di possibili derive dell'orologio tra un client e un server di validazione, RACCOMANDIAMO che il validatore sia impostato con un limite specifico al numero di passi temporali in cui un dimostratore può essere "fuori sincronizzazione" prima di essere rifiutato.

Questo limite può essere impostato sia in avanti che indietro dal passo temporale calcolato alla ricezione del valore OTP. Se il passo temporale è di 30 secondi come raccomandato, e il validatore è impostato per accettare solo due passi temporali indietro, allora la deriva massima del tempo trascorso sarebbe di circa 89 secondi, ovvero 29 secondi nel passo temporale calcolato e 60 secondi per due passi temporali indietro.

Ciò significherebbe che il validatore potrebbe eseguire una validazione rispetto al tempo corrente e quindi altre due validazioni per ogni passo indietro (per un totale di 3 validazioni). Dopo una validazione riuscita, il server di validazione può registrare la deriva dell'orologio rilevata per il token in termini di numero di passi temporali. Quando viene ricevuto un nuovo OTP dopo questo passaggio, il validatore può validare l'OTP con il timestamp corrente regolato con il numero registrato di derive dell'orologio dei passi temporali per il token.

Inoltre, è importante notare che più a lungo un dimostratore non ha inviato un OTP a un sistema di validazione, più lunga (potenzialmente) è la deriva dell'orologio accumulata tra il dimostratore e il verificatore. In tali casi, la risincronizzazione automatica descritta sopra potrebbe non funzionare se la deriva supera la soglia consentita. Dovrebbero essere utilizzate misure di autenticazione aggiuntive per autenticare in modo sicuro il dimostratore e risincronizzare esplicitamente la deriva dell'orologio tra il dimostratore e il validatore.