我已经在Linux上配置了Google身份验证器,我的mfa工作正常,但据我说,MFA令牌应该在30秒后过期,但即使在30秒后,我也可以使用令牌。
如果我使用令牌,则它不可重复使用,但如果在30秒内不使用它,那么我也能在一段时间后使用它。这是正常的吗?我希望我的令牌在30秒内过期,即使我使用它或不使用它。有人可以帮我吗?
答案 0 :(得分:4)
虽然您的时间步长可能只有30秒,但RFC指定验证服务应及时来回搜索OTP值。由于时钟的漂移,建议这样做。 https://tools.ietf.org/html/rfc6238#section-6
这就是为什么大多数系统(包括谷歌本身)允许一个以前的OTP,所以当代码每30秒重新生成一次时,每个OTP保持有效60秒。 您需要检查服务器端设置