我目前正致力于基于服务器的TOTP实现,以便通过使用OTP代码来加强用户的身份验证。 但我想知道如何第一次与最终用户分享QR码(或密钥)?确定电子邮件不是最好的选择,但由于我不会与最终用户进行实际联系,因此很难以另一种方式共享QR码...
如果最终用户丢失其手机以生成其代码,则与TOTP相关的另一个问题是,我是否允许最终用户生成新的QR码?但在那种情况下我该如何分享呢? (事实上这是同一个问题....)
答案 0 :(得分:0)
如果您确实希望保持服务器安全,则不应通过任何方式共享QR Code / OTP设置代码,但这不是很有用。
一个选项是在用户登录时禁用两个因素,然后重新启用并让用户进行设置 - 这是最安全的方式,但不是很易于管理。
另一种选择是通过安全消息传递协议与用户共享QR码,然后要求用户重置密码并重新设置双因素。
您在服务器上运行的是什么操作系统,这是否适用于SSH访问?
答案 1 :(得分:0)
如果您需要向用户提供 QR 码,您可以使用一个可从外部访问的门户,但它本身受您提供的因素之外的其他因素保护。