OneSpan Sign Release 11.22: OTP Expiry Feature

Duo Liang, janvier 23, 2019

La version 11.22 de OneSpan Sign a récemment été déployée dans l'environnement de prévisualisation et de bac à sable. Dans cette nouvelle version, nous avons ajouté le délai d'expiration pour les mots de passe ponctuels (OTP) lorsqu'un signataire utilise l'authentification PAR SMS. Nous avons également supprimé le support d'Internet Explorer 9 et 10 dans la nouvelle expérience utilisateur, permis au signataire d'ajouter des informations facultatives sur le titre et l'entreprise lors du changement de signataire lors de la cérémonie de signature, et étendu l'API pour supprimer plusieurs documents en un seul appel. Enfin, nous avons ajouté quelques corrections de bogue ainsi. Vous pouvez trouver les dates de déploiement de tous nos environnements sur notre page Trust Center.

 

Dans ce blog, nous allons couvrir le nouveau délai d'expiration pour le SMS OTP et plonger dans les détails d'implémentation et les fonctions API/SDK liées à l'authentification SMS.

 

 

Qu'est-ce qui est ajouté au BdP?

 

Si les OTP ne sont pas réglés pour expirer, un attaquant qui accède à l'appareil d'un utilisateur peut récupérer plusieurs OTP et réutiliser ces codes d'accès à l'avenir. Pour éviter ce type de risque de sécurité, la fonction d'expiration otP est maintenant disponible dans la version 11.22. Voici une image de ce à quoi s'attendre quand un code d'accès SMS est utilisé après son expiration.

 

1-23-1

 

 

Note:

 

 

  • Le réglage de délai d'arrêt par défaut est de 5 minutes comme recommandé par le National Institute of Standards and Technology (NIST) des États-Unis. Par défaut, l'expiration du BdP est activée au niveau de votre compte.
     

     

  • Le réglage du délai d'arrêt du code est configurable par l'intermédiaire de notre équipe de support.
     

     

  • La plage de temps d'arrêt configurable est de 0 à 90 minutes.

     

Lorsque le code a expiré ou si vos signataires ont perdu ou oublié leur code, ils peuvent facilement en demander un nouveau en suivant les instructions lors de la cérémonie de signature.

 

 

Le nouveau code démarre une nouvelle période d'expiration, et le code d'origine expirera immédiatement, même si la période d'expiration d'origine n'est pas terminée.

 

 

Un nouvel implémentation de la vérification reCAPTCHA est prévu lorsqu'un utilisateur demande un nouveau BD par SMS dans le bureau et la cérémonie de signature mobile.1-23-2

 

 

Les tentatives de connexion à l'aide d'un code OTP expiré sont comptabilisées par rapport au nombre total de tentatives d'échec. Ce qui signifie qu'après que le nombre de tentatives de connexion a atteint un maximum, le compte doit être verrouillé, et le signataire sera informé.1-23-3

 

 

Renvoyer le code SMS programmatiquement

 

En plus de la capacité des signataires de demander une réenvoi de la page de la cérémonie de signature, les expéditeurs ont également la possibilité de renvoyer un code à des signataires individuels dans la transaction. Lorsque cela est fait, un nouveau code est envoyé avec un nouveau temps d'expiration.

Ci-dessous vous montre comment envoyer manuellement une notification SMS par code:

 

 

 

Java SDK:

eslClient.getPackageService().sendSmsToSigner(packageId, retrievedPackage.getSigner(email1));

.Net SDK:

eslClient.packageService.SendSmsToSigner(packageId, retrievedPackage.GetSigner(email1));

Appel REST:

Demande HTTP
POST /api/packages/'packageId/roles/'roleId/sms_notification

En-têtes HTTP
Accepter : application/json
Content-type: application/JSON
Autorisation: api_key de base

Grâce au blog d'aujourd'hui, nous avons parcouru les implémentations nouvellement ajoutées à l'authentification SMS et couvert ce que vous pouvez vous attendre lors de l'établissement des délais d'expiration OTP.

 

 

Si vous avez des questions concernant ce blog ou toute autre chose concernant l'intégration de OneSpan Sign dans votre application, visitez les Forums communautairesdes développeurs . Vos commentaires sont importants pour nous!