我对google验证器或双因素身份验证的一般观点有疑问。
我有一个网站,用户可以登录用户名+密码。因此,当我添加TFA时,所有用户都会获得一个单独的密钥来生成二维码,但当黑客已经知道用户名+密码时,他所要做的就是扫描二维码并输入6位数字。那么TFA的意义是什么呢?
添加TFA时,需要生成一个密码,然后可以使用该密码生成一次性密码。
你与用户分享秘密的方式是通过二维码。您只需向用户显示一次二维码,然后使用验证器应用程序,如Google authenticator或 Authy ,他们读取二维码并存储秘密。
然后,当他们再次登录时,他们需要使用应用程序根据密码和当前时间段生成一次性密码。
用户登录时不应显示二维码,只有在首先设置TFA时才应显示二维码。
