2017-12-19 22 views
0

私はGoogle認証システムまたは2つの要素の認証の一般的なポイントについて質問があります。Google認証システム

私はユーザーがusername + passwordでログインできるウェブサイトを持っています。だから私はTFAを追加すると、すべてのユーザーがQRコードを生成するために個々の秘密鍵を取得するが、ハッカーがすでにユーザー名+パスワードを知っている場合、彼がしなければならないことはqrコードをスキャンして6桁を入力することだけである。だからTFAのポイントは何ですか?

答えて

2

TFAを追加するときは、シークレットを生成して1回のパスワードを生成する必要があります。

この秘密をあなたのユーザーと共有する方法は、QRコードを使用する方法です。ユーザーにQRコードを一度表示してから、Google認証システムやAuthyなどのオーセンティケーターアプリを使用するだけで、QRコードを読み取り、その秘密情報を保存する必要があります。

次にログインすると、アプリを使用して秘密と現在の期間に基づいてワンタイムパスワードを生成する必要があります。

最初にTFAを設定するときだけ、ユーザーをログインするときにQRコードを表示しないでください。

+1

ありがとうございます。私の間違いは、ユーザーが毎回qrコードをスキャンする必要があると思うことでした –