security - 为什么服务会为两因素身份验证提供恢复代码列表,而不仅仅是一个?
问题描述
标题基本概括了所有内容。我目前正在实施两因素身份验证,想知道是否应该提供恢复代码列表。我自己都不会想到,但我在野外看到的大多数实现都是这样的。例如,Github 一次生成一个包含 16 个恢复代码的列表。
有什么安全好处吗?
解决方案
好问题 - 我很确定这对双方来说都是易于实施的事情 - 如果您预先生成恢复代码列表,那么您不必在每次用户使用备份代码时重新生成代码。这个想法是用户将它们打印/保存在某处,因此从可用性的角度来看,这使用户不必重新打印或重新保存代码。
不过,您不必使用恢复代码。GitHub 支持几种不同的恢复选项。一些公司使用安全问题或允许您回退到 SMS。一些公司让您致电支持并提供帐户详细信息(适用于有可信任联系人的企业用例/如果您希望有少量帐户恢复案例/有一种通过电话验证身份的好方法[免责声明我写道Twilio 的帖子])。 如果您被锁定,Facebook 允许您选择朋友来证明您的身份。
去年我对此进行了一次演讲,并在幻灯片中提供了更多建议。希望这可以帮助!
推荐阅读
- python - 在 sqlalchemy 中何时使用 `session_maker` 以及何时使用 `Session`
- firebase - Flutter 在选项卡导航中从 firebase 检索数据的最有效方法
- python - 用于检测空白音频文件的 Python 脚本
- servicestack - 表中的 OrmLite upsert
- r - 使用 redoc::dedoc 从 *.docx 转换损坏
- reactjs - 笑话:公共子模块的模块外的导入语句
- java - 当 char = ' ' 时,Char 变量第一次不会改变值?
- python - Azure函数:System.InvalidOperationException:存储帐户连接字符串'不存在
- image - Keras 自定义数据集,以图像作为标签/地面实况
- express - NestJS UnhandledPromiseRejectionWarning: TypeError: this.client.send is not a function