如何解决TOTP - 对 Authenticator App 和 SMS 使用相同的秘密
在我们的应用中,我们需要让用户能够配置多种方式来获取 MFA 的 TOTP 代码。其中两种方法是身份验证器应用程序(带有密码的二维码)和短信。我们强烈建议用户只配置 Auth App,但如果他们真的想要,他们可以同时配置 Auth App 和 SMS。问题是 - 如果两者都配置了,这两个选项是否可以共享相同的密钥?与这些秘密不同时相比,它是否会使应用程序更不安全?秘密短语按用户加密存储在数据库中,并在用户重新配置 Auth 应用程序时重新生成。
另一种选择可能是不将 TOTP 用于 SMS,而只是生成一个随机数并将其存储在某处,但有什么更好的方法吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
