我确定这个问题适用于您想要使用的任何TFA方法....
我在网站上实施谷歌身份验证(asp.net C#),并且不能完全了解流程,为用户提供QR或手动设置代码。
如果黑客知道/猜测初始用户名/密码,我的担忧就围绕着,我无法向他们展示QR,因为他们将针对有效用户进行身份验证。 此外,如果合法用户正常登录并看到QR ...但当时没有对其进行操作,我想再次向他们展示代码以及如果给定用户有他们希望在这些设备上设置GA auth的多个设备(移动设备,平板电脑,桌面设备)......所以一次性QR无法正常工作(尽管显示相同的QR码)。
我有一个想法是允许用户正常登录(不使用TFA),并允许他们启用TFA。他们看到他们的设置QR码,我们很好。然后可以通过再次登录(使用新的TFA方法)来设置其他设备,以获取添加这些额外设备的代码。
创建/验证Auth代码不是我的问题,它是如何设置的,没有黑客获取设置代码的风险。我发现的所有演示都显示人们登录并亲自看到QR码,如果被黑客攻击是一个弱点。
正确的流程/实施是什么?
答案 0 :(得分:0)
QR码包含密钥,用于生成一次性密码(OTP)。只有在令牌注册过程中才需要QR码。用户通常登录(使用他的用户名和密码,没有2FA),然后如果他想要启用2FA,他将获得QR码(或密钥)。他可以将它保存在一个安全的地方,如果他需要 - 通过其他设备(移动设备,平板电脑,桌面设备)扫描它以生成OTP。每次用户登录时都不需要显示QR码。在这种情况下,2FA失去了意义。