如何使用2步(a.k.a. 2-factor)身份验证来保护我的网站上的管理员或用户帐户免受暴力破解密码破解的影响?我真的想为我的网站使用SMS 2步验证,但我找不到愿意让我发送短信给我的[或我的客户]手机来验证访问权限的免费提供商自动这样做。
所以现在我只想确保没有人可以通过向我的私人Yahoo或Google电子邮件地址发送一封包含临时(活动仅约5-10分钟)代码的电子邮件进入我网站的管理部分(隐藏在PHP文件中),每次我在管理员登录页面上获取用户名和密码时,已经实施SMS两步验证。
对于普通用户,在用户登录时进行电子邮件身份验证对于我网站的每个成员来说都太麻烦和烦人。如果没有办法禁用它,短信也会。但是,我不介意去我的电子邮件,以获取每次管理员登录尝试时的代码,如果这意味着我的网站的额外安全性。
我正在[专门]查找某些类型的基于PHP会话的代码,我可以将其置于管理页面的顶部,以及一个随机代码生成器,用于创建代码并将代码发送到我的电子邮件以进行管理员登录。任何帮助将不胜感激!