0

我正在使用 gem 为我的应用启用谷歌的多因素身份验证。https://github.com/jaredonline/google-authenticator

我们想开始使用短信让这更容易访问,我想知道是否有人知道你是否可以控制令牌的到期?将漂移提高到 300 秒会起作用吗?只是好奇是否有其他人遇到过这种情况。谢谢!

4

1 回答 1

1

基本上,是的。

您无法更改 GA 令牌的长度(必须为 30 秒),但漂移可以让您设置一个窗口来确定令牌的年龄。底层 ROTP 库将计算时间窗口内的所有令牌,如果匹配则成功。

但你可能不想要那么高的窗户。安全性来自用户和网站(大部分)同步。您应该考虑您的服务器和用户设备之间的一些偏差,但任何超过约 30 秒的时间都会对您的用户造成损害。这是一个 6 位数字 - 键入不需要 5 分钟。

于 2016-03-15T00:24:45.670 回答