问题标签 [two-factor-authentication]

有人成功使用Yubikey 进行 sudo吗？这似乎很有希望，但似乎有一个奇怪的错误使设置变得善良或脆弱。使用 nscd 进行 dns 缓存的解决方法并不鼓舞人心。

我想在 Jenkins 中为所有用户（甚至超级管理员）进行 2 因素身份验证，并且想知道，如果可能，如果可能，可能的方法是什么，或者我们是否需要一个插件。

另外，我们能否获得在 Jenkins 中安排部署的授权，如果可能，我们该怎么做。

早上好

在 MVC 中有一个方法在使用的管理控制器中。生成令牌。

有谁知道这个生成的令牌保存在哪里。在基本的 MVC 示例中，他们使用它来添加电话号码，并且需要使用向提供的手机号码发送短信的令牌进行验证，此代码用于生成该令牌。但是该令牌没有保存在哪里，数据库中没有列，也没有传递到隐藏字段中的视图。但奇怪的是当你输入代码并提交时，它会在 post 方法中使用以下内容进行比较

我无法弄清楚 GenerateChangePhoneNumberTokenAsync 方法将在哪里找到生成的令牌以与模型中传递的令牌进行比较。你们中的任何人都知道在哪里可以找到它。

亲切的问候

我正在尝试使用 Mechanize 从（Google）网络服务中检索数据。

如果用户没有2FA（双因素身份验证），则此代码有效：

如果用户打开了 2FA，则在提交密码后，页面会要求输入 2FA 代码。我有一个生成代码的令牌 - 但我不确定如何提交它。

（注意，我尝试过使用特定于应用程序的密码- 但它们不适用于此类访问。）

1. 如何在第二页提交 2FA 代码？
2. 有什么办法可以存储 cookie，这样我就不必每次都使用 2FA 令牌？

更新：我们正在 Windows、IOS 和 Android 平台上构建移动应用程序，为受监管的系统生成 OTP（一次性密码）。当用户尝试登录时，系统会提示挑战短语，显示的挑战需要键入移动应用程序以生成 OTP。然后将生成的 OTP 输入回系统以成功登录。

到目前为止，移动 OTP 生成应用程序的要求很好，因为我们可以公开服务以生成具有所需安全性的 OTP。

但是，我们有一个有线要求，即在移动设备没有互联网连接的情况下支持具有离线功能的相同功能。我们知道的唯一选择是将 OTP 算法和密钥嵌入到应用程序中并应用合适的安全机制。算法是定制的支持算法，在不影响安全性的情况下，我们需要实现离线功能。这是将算法和密钥嵌入应用程序以启用离线功能的好方法吗？推荐的解决方案是什么。

当我们将 Thinktecture 身份服务器 3 与 Microsoft ASP.NET Identity 2.1 集成时，我们设法为我们的客户配置和启用 2FA（Tow Factor Authentication）。问题是 MS 的默认实现使用 TOTP，其有效时间默认为 180 秒。对于其他一些应用程序，它可能是可以接受的，但是这些 TOTP 代码有效的最长时间不超过 30 秒。我们找不到为 ASP.NET Identity 配置此属性的方法。谁能帮我将其默认值从 180 秒更改为 30 秒？

我正在寻找如何使用弹簧安全 OAuth2 实现两因素身份验证 (2FA) 的想法。要求是用户只需要对具有敏感信息的特定应用程序进行双重身份验证。这些网络应用程序有自己的客户端 ID。

我想到的一个想法是“滥用”范围批准页面来强制用户输入 2FA 代码/PIN（或其他）。

示例流程如下所示：

在没有和使用 2FA 的情况下访问应用程序

• 用户已注销
• 用户访问不需要 2FA 的应用 A
• 重定向到 OAuth 应用，用户使用用户名和密码登录
• 重定向回应用程序 A 并且用户已登录
• 用户访问同样不需要 2FA 的应用 B
• 重定向到 OAuth 应用，重定向回应用 B，用户直接登录
• 用户访问需要 2FA的应用程序S
• 重定向到 OAuth 应用，用户需要额外提供 2FA 令牌
• 重定向回应用程序 S 并且用户已登录

使用 2FA 直接访问应用程序

• 用户已注销
• 用户访问需要 2FA的应用程序S
• 重定向到 OAuth 应用，用户使用用户名和密码登录，用户需要额外提供 2FA 令牌
• 重定向回应用程序 S 并且用户已登录

你有其他想法如何解决这个问题吗？

我最近在 django 应用程序中实现了两因素身份验证。我为此使用了第三方包，该包已经过良好测试。我想为我的代码编写单元测试，但是测试实际上只是他们的包的东西似乎很愚蠢。我觉得为登录过程编写更大规模的硒测试真的很奇怪，尤其是扫描二维码。答案是如果我没有对代码做任何新的事情，只是放入现有的库中，我就不能有效地为它编写测试吗？（因为没有必要？）

对我的服务器的分布式 smtp 身份验证攻击的不断浪潮促使我禁止非指定 IP 连接到我的服务器上的 smtp 并通过它发送邮件。非常有效。（说明：http ://sysadmintips.in/advanced/csf/exim ）

但是，我现在无法使用 Google Mail (Gmail) 为新帐户“发送邮件”，而无需启用双因素身份验证（这很痛苦，因为我正在为我的客户远程设置此功能）或重新打开 smtp auth我的服务器。

我的另一个选择是将 Google Mail 的 IP 地址列入白名单。

谷歌搜索发现了这种方式来检索当前的谷歌 IP 范围，使用这些内容（我从这个页面复制：https ://support.google.com/a/answer/60764?hl=en ）：

这将返回包含在 Google SPF 记录中的域列表，例如：_netblocks.google.com、_netblocks2.google.com、_netblocks3.google.com

现在查找与这些域关联的 DNS 记录，一次一个，如下所示：

这些命令的结果包含当前地址范围。

我可以使用这些输出为 /etc/csf/csf.smtpauth 生成有用的内容吗？

我可以在 PHP 中编写一些代码来执行此操作，并以 root 身份将其作为 cron 任务运行，但是什么格式是可以接受的？csf.smtpauth 是否接受 IP 范围声明？它是否可以处理 IPV6 IP？

在进行任何更改后，我还需要自动强制重启 csf 和 lfd，以便使用新的 IP。以root身份运行的PHP有可能吗？

谢谢！

我一直在使用 ASP.NET Identity 2.2.1。以下是 VerifyCode 操作的 post 方法中的代码。

当 model.RememberMe 和 model.RememberBrowser 都是 true 时，浏览器会记住 Identity 和两个因素 cookie 2 周。这是默认实现。

但我只需要记住 8 小时的 TFA。我怎样才能做到这一点？

自过去 10 天以来，我一直在寻找解决方案，但我没有找到解决方案。任何帮助将非常感激。

以下是我的 StartUp 类中的代码。它只是没有生效。