Generazione di codici di backup per un'implementazione 2FA

Naviga le tue risposte
8

Ho implementato l'aspetto di accesso / verifica di un sistema di autenticazione a due fattori come per RFC 6238 .

Funziona bene con Google Authenticator, che è fantastico.

Ora sto rivolgendo la mia attenzione ai codici di backup, forniti dai servizi che implementano 2FA come Google e GitHub.

Ho notato che hanno una lunghezza e / o un formato diversi dal solito codice di autenticazione diretta a 6 cifre.

Quindi, io:

  • Genera un numero arbitrario di codici quando un utente imposta 2FA
  • memorizzali nel DB accanto all'utente
  • Usa il fatto che hanno una lunghezza o un formato diversi per decidere come controllarli?

Dovrebbero essere casuali o generati in base a un hash dell'utente?

    
posta bcmcfc 07.07.2014 - 17:45
fonte

1 risposta

6

Di solito i codici di backup sono credenziali casuali opache, non matematicamente basate sul seme 2FA o qualsiasi altra cosa nota all'utente, e generate con sufficiente lunghezza ed entropia da evitare attacchi di dizionario.

Tratta le password come monouso, inseriscile prima dell'archiviazione in modo da non avere gli originali; scartare dopo un uso in autenticazione; limitare il numero e il tasso di tentativi di autenticazione; e consentire agli utenti autenticati di generare un nuovo set, che invalida il set precedente.

    
risposta data 05.08.2016 - 05:01
fonte

Leggi altre domande sui tag

Intestazioni HTTP protette E 'possibile la lista bianca USB in Linux?