我已经在我的Web应用程序中使用PHP成功实现了双因素身份验证。只是想知道Facebook甚至谷歌如何处理备份代码方案(如果用户丢失了手机或没有手机)。
我对如何做到这一点有一个粗略的想法,但它与2FA模块分开。我认为是为每个用户存储随机生成的备份代码,并优先考虑那些代码而不是从2fa代码生成器生成的代码。
我是对的吗?或者有更好的方法吗?任何帮助或想法都非常感谢。
答案 0 :(得分:3)
你说得对。您只需检查“此代码是否是由2fa代码生成器生成的正确代码,或者此代码是否为备份代码之一?”。 This page shows Google's UI for it.
只有一个“我没有手机;使用备用代码登录”链接将它们带到备份代码登录页面也是可以接受的。
尽管如此,要求备份代码和是非常重要的!
还要确保备份代码仅限一次性使用 - 您不希望人们只记住一个备份代码并继续像第二个密码那样重复使用。