我对谷歌身份验证器或双因素身份验证的一般要点有疑问。
我有一个网站,用户可以使用用户名+密码登录。因此,当我添加TFA时,所有用户都会获得一个单独的密钥来生成QR码,但是当黑客已经知道用户名+密码时,他所要做的就是扫描二维码并输入6位数字。那么TFA有什么意义呢?
添加TFA时,您需要生成一个秘密,然后您可以使用该秘密生成一次性密码。
您与用户分享该秘密的方式是通过QR码。您只需要向用户显示一次QR码并使用Google身份验证器或Authy等身份验证器应用程序,他们会阅读QR码并存储密码。
然后,当他们再次登录时,他们需要使用该应用程序根据秘密和当前时间段生成一次性密码。
只有在首先设置TFA时,才应在登录用户时显示QR代码。