标题几乎说明了一切。我目前正在实现两因素身份验证,想知道是否应该提供恢复代码列表。我自己甚至都没有想到这一点,但我在野外看到的大多数实现都是这样做的。例如,Github 一次生成 16 个恢复代码的列表。
有任何安全优势吗?
最佳答案
很好的问题 - 我很确定这对双方来说都很容易实现 - 如果您预先生成恢复代码列表,那么您就不必在每次用户使用备份代码时重新生成代码。这个想法是,用户将在某个地方打印/保存它们,因此从可用性的角度来看,这使用户不必重新打印或重新保存代码。
不过,您不必使用恢复代码。 GitHub 支持 few different recovery options 。有些公司使用安全问题或允许您退回短信。 有些公司会让您调用支持人员并提供帐户详细信息(适用于有可信联系人的企业用例/如果您希望有少量帐户恢复案例/有一个很好的方法 verifying identity over the phone [免责声明,我写这篇文章是为了Twilio])。
我gave a talk about this last year还有更多recommendations in the slides 。希望这有帮助!
关于security - 为什么服务为双因素身份验证提供恢复代码列表,而不是仅提供一个?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68898035/