我已经在我的 Web 应用程序中使用 PHP 成功实现了两因素身份验证。只是想知道 Facebook 甚至 Google 如何处理备份代码场景(以防用户丢失手机或没有手机)。
我对如何做到这一点有一个粗略的想法,但它与它自己的 2FA 模块是分开的。我的想法是针对每个用户存储随机生成的备份代码,并优先考虑这些代码而不是从 2fa 代码生成器生成的代码。
我对吗?或者有更好的方法吗?非常感谢任何帮助或想法。
问问题
1868 次
1 回答
3
你猜对了。您只需检查“此代码是 2fa 代码生成器生成的正确代码还是此代码是备用代码之一?”。这个页面显示了谷歌的用户界面。
也可以只使用“我没有手机;使用备用代码登录”链接将他们带到备用代码登录页面。
不过,要求备份代码及其密码很重要!
还要确保备份代码只能使用一次 - 您不希望人们只记住一个并像第二个密码一样继续重复使用它。
于 2013-10-21T20:39:46.987 回答