我已经在我的 Web 应用程序中使用 PHP 成功实现了两因素身份验证。只是想知道 Facebook 甚至 Google 如何处理备份代码场景(以防用户丢失手机或没有手机)。
我对如何做到这一点有一个粗略的想法,但它与它自己的 2FA 模块是分开的。我的想法是针对每个用户存储随机生成的备份代码,并优先考虑这些代码而不是从 2fa 代码生成器生成的代码。
我对吗?或者有更好的方法吗?非常感谢任何帮助或想法。
我已经在我的 Web 应用程序中使用 PHP 成功实现了两因素身份验证。只是想知道 Facebook 甚至 Google 如何处理备份代码场景(以防用户丢失手机或没有手机)。
我对如何做到这一点有一个粗略的想法,但它与它自己的 2FA 模块是分开的。我的想法是针对每个用户存储随机生成的备份代码,并优先考虑这些代码而不是从 2fa 代码生成器生成的代码。
我对吗?或者有更好的方法吗?非常感谢任何帮助或想法。
你猜对了。您只需检查“此代码是 2fa 代码生成器生成的正确代码还是此代码是备用代码之一?”。这个页面显示了谷歌的用户界面。
也可以只使用“我没有手机;使用备用代码登录”链接将他们带到备用代码登录页面。
不过,要求备份代码及其密码很重要!
还要确保备份代码只能使用一次 - 您不希望人们只记住一个并像第二个密码一样继续重复使用它。