我正在使用gem为我的应用启用Google的多重身份验证。 https://github.com/jaredonline/google-authenticator
我们想开始使用短信来使这个更容易访问,我想知道是否有人知道你是否可以控制令牌的到期时间?将漂移高达300秒的工作?只是好奇是否有其他人遇到过这个。谢谢!
答案 0 :(得分:1)
基本上,是的。
您无法更改GA令牌的长度(必须为30秒),但漂移将允许您设置一个窗口,以显示令牌的年龄。底层ROTP库将在时间窗口内计算所有令牌,并在任何匹配时成功。
但你可能不想要一个高的窗户。安全性来自用户和站点(大部分)同步。您应该考虑服务器和用户设备之间的一些偏差,但是大约30秒以上的任何内容主要是针对您的用户'损害。它是一个6位数字 - 它不需要5分钟才能输入。