我目前正在研究基于服务器的 TOTP 实现,以便通过使用 OTP 代码来加强对用户的身份验证。但我想知道如何第一次与最终用户共享 QR 码(或密钥)?当然,电子邮件不是更好的选择,但由于我不会与最终用户进行身体接触,因此很难以其他方式共享 QR 码......
另一个与 TOTP 相关的问题,如果最终用户丢失手机以生成其代码,我是否允许最终用户生成新的 QR 码?但在那种情况下,我该如何分享呢?(其实这是同一个问题......)
问问题
506 次
2 回答
0
如果您需要向用户提供 QR 码,您可以使用可从外部访问的门户,但它本身受您提供的因素以外的因素保护。
于 2021-06-29T13:20:56.760 回答
0
如果你真的想保证你的服务器安全,你不应该通过任何方式共享 QR 码/OTP 设置码,但这不是很有用。
一种选择是在用户登录时禁用两个因素,然后重新启用并让用户进行设置 - 这是最安全的方式,但不太易于管理。
另一种选择是通过安全的消息传递协议与用户共享 QR 码,然后要求用户重置密码并重新设置 Two Factor。
您在服务器上运行什么操作系统,这是用于 SSH 访问的吗?
于 2017-10-25T02:06:30.743 回答