我正在尝试通过 TOTP 实现两因素身份验证。我有 webapp 和移动应用程序(ios 和 android)。我希望仅在 webapp 上而不是在移动应用程序上使用两个因素身份验证流。如何仅在移动应用程序上安全地绕过两因素身份验证?
更新: 我正在为 webapp 和移动应用程序使用通用后端 api。需要在网络应用程序上实现两个因素。对于移动应用程序一个因素(用户名、密码)就可以了。
问问题
796 次
3 回答
1
有两个身份验证流程,一个有 2FA,一个没有,基本上是一个漏洞。在任何地方实施 2FA 或不要打扰。
Paypal 在部分 2FA 实施方面有一些糟糕的经验。没有理由让你跟随。
于 2015-04-23T15:04:32.200 回答
0
寻求实现谷歌用于此类事情的应用程序密码的模拟
于 2015-06-04T08:30:26.973 回答
0
出色地!这是假设对于另一个因素,您使用手机。您将要求输入用户名,密码。然后将电话号码与帐户相关联。然后通过发送一次性密码来验证用户是否拥有该电话号码。
在应用程序中可以有一种聪明的方法来做同样的事情,而无需太多的用户交互。
- 向用户询问电子邮件、密码和电话号码。
- 您将验证码发送到手机,然后您自己阅读并验证该验证码。您需要拥有“阅读短信”权限。如果用户在您发送的 SMS 上具有正确的验证码,则您可以自动验证用户是否拥有该电话号码。其他用户不拥有电话号码,并且有些可疑,应该将他带到其他地方。
于 2015-06-04T08:40:59.557 回答