Google 验证者
Google Authenticator
我对 google 身份验证器或双因素身份验证的一般要点有疑问。
我有一个网站,用户可以使用用户名 + 密码登录。所以当我添加 TFA 时,所有用户都会得到一个单独的密钥来生成二维码,但是当黑客已经知道用户名和密码时,他所要做的就是扫描二维码并输入 6 位数字。那么TFA有什么意义呢?
添加 TFA 时,您需要生成一个密钥,然后您可以使用该密钥生成一次性密码。
您与用户分享该秘密的方式是通过二维码。您应该只需要向用户显示一次 QR 码并使用 Google Authenticator 或 Authy 等身份验证器应用程序,他们会读取 QR 码并存储密码。
然后,当他们再次登录时,需要使用该应用程序根据秘密和当前时间段生成一次性密码。
您不应在用户登录时显示二维码,只有在首先设置 TFA 时才显示。
我对 google 身份验证器或双因素身份验证的一般要点有疑问。
我有一个网站,用户可以使用用户名 + 密码登录。所以当我添加 TFA 时,所有用户都会得到一个单独的密钥来生成二维码,但是当黑客已经知道用户名和密码时,他所要做的就是扫描二维码并输入 6 位数字。那么TFA有什么意义呢?
添加 TFA 时,您需要生成一个密钥,然后您可以使用该密钥生成一次性密码。
您与用户分享该秘密的方式是通过二维码。您应该只需要向用户显示一次 QR 码并使用 Google Authenticator 或 Authy 等身份验证器应用程序,他们会读取 QR 码并存储密码。
然后,当他们再次登录时,需要使用该应用程序根据秘密和当前时间段生成一次性密码。
您不应在用户登录时显示二维码,只有在首先设置 TFA 时才显示。