我已经在我的 Web 应用程序中成功地使用 PHP 实现了双因素身份验证。只是想知道 Facebook 甚至谷歌如何处理备份代码场景(以防用户丢失手机或手机不在身边)。
我对如何做有一个粗略的想法,但它与它自己的 2FA 模块分开。我的想法是针对每个用户存储随机生成的备份代码,并优先考虑这些代码而不是从 2fa 代码生成器生成的代码。
我说的对吗?或者有更好的方法吗?非常感谢任何帮助或想法。
最佳答案
你说得对。您只需检查“此代码是由 2fa 代码生成器生成的正确代码还是此代码是备用代码之一?”。 This page shows Google's UI for it.
如果有一个“我没有手机;请使用备用代码登录”链接将他们带到备用代码登录页面也是可以接受的。
不过,要求备份代码和他们的密码很重要!
还要确保备份代码只能使用一次 - 您不希望人们只记住一个并像第二个密码一样重复使用它。
关于php - 双重身份验证和备份代码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19502125/