安全绕过移动应用程序上的双因素身份验证
securely bypass two factor authentication on mobile app
我正在尝试通过 TOTP 实施双因素身份验证。我有网络应用程序和移动应用程序(ios 和 android)。我只希望在 webapp 上而不是在移动应用程序上进行双因素身份验证。如何仅在移动应用程序上安全地绕过双重身份验证?
更新:
我正在为网络应用程序和移动应用程序使用通用后端 api。需要在网络应用程序上实施两个因素。对于移动应用程序,一个因素(用户名、密码)就可以了。
有两个身份验证流程,一个有 2FA,一个没有,基本上是一个漏洞。到处实施 2FA,否则就别费心了。
Paypal 有一些 bad experience 实现了部分 2FA。没有理由让你关注。
尝试实现应用程序密码的模拟 google 用于此类事情
嗯!这是假设对于另一个因素,您使用手机 phone。
你会要求输入用户名,密码。然后将 phone 号码与该帐户相关联。然后通过发送一次性密码验证用户拥有该 phone 号码。
可以通过一种聪明的方式在应用程序中执行相同的操作,而无需太多用户交互。
- 要求用户提供电子邮件、密码和 phone 号码。
- 您将验证码发送给phone,您自行阅读并验证该验证码。您需要获得 'read SMS' 许可。如果用户在您发送的短信中有正确的验证码,那么您可以自动验证用户拥有phone号码。否则用户不拥有 phone 号码并且有些可疑,他应该被带到其他地方。
我正在尝试通过 TOTP 实施双因素身份验证。我有网络应用程序和移动应用程序(ios 和 android)。我只希望在 webapp 上而不是在移动应用程序上进行双因素身份验证。如何仅在移动应用程序上安全地绕过双重身份验证?
更新: 我正在为网络应用程序和移动应用程序使用通用后端 api。需要在网络应用程序上实施两个因素。对于移动应用程序,一个因素(用户名、密码)就可以了。
有两个身份验证流程,一个有 2FA,一个没有,基本上是一个漏洞。到处实施 2FA,否则就别费心了。
Paypal 有一些 bad experience 实现了部分 2FA。没有理由让你关注。
尝试实现应用程序密码的模拟 google 用于此类事情
嗯!这是假设对于另一个因素,您使用手机 phone。 你会要求输入用户名,密码。然后将 phone 号码与该帐户相关联。然后通过发送一次性密码验证用户拥有该 phone 号码。
可以通过一种聪明的方式在应用程序中执行相同的操作,而无需太多用户交互。
- 要求用户提供电子邮件、密码和 phone 号码。
- 您将验证码发送给phone,您自行阅读并验证该验证码。您需要获得 'read SMS' 许可。如果用户在您发送的短信中有正确的验证码,那么您可以自动验证用户拥有phone号码。否则用户不拥有 phone 号码并且有些可疑,他应该被带到其他地方。