Ho creato un semplice sistema di autenticazione per la mia applicazione web che utilizza l'algoritmo OTP open-source basato sul tempo ( RFC 6238 ). La chiave per ogni utente viene generata quando l'utente è registrato nel sistema. Quando l'utente accede per la prima volta al proprio account, gli viene chiesto di configurare le proprie app di autenticazione con il codice QR fornito.
Ora ho fatto un po 'di ricerche e non sono riuscito a trovare molto sull'argomento, quindi mi piacerebbe sapere da te quando è necessario ripristinare le chiavi segrete generate dall'applicazione.
È una buona idea avere il reset della chiave se l'utente cambia la sua passphrase? In tal caso, qual è il modo migliore per presentare loro il nuovo codice QR? Suppongo che ci siano due scelte: la prima è di presentarle a loro la prossima volta che effettuano l'accesso, e la seconda è di inviare loro il QR effettivo nell'e-mail che consente loro di sapere che la loro passphrase è stata modificata. Per me, quest'ultimo è più sicuro, ma immagino che non farebbe molta differenza se l'e-mail fosse usata per resettare comunque la passphrase.
I tuoi pensieri e approfondimenti su questo argomento sarebbero molto apprezzati.