Google認証システム

Question

私はGoogle認証システムまたは2つの要素の認証の一般的なポイントについて質問があります。

私はユーザーがusername + passwordでログインできるウェブサイトを持っています。だから私はTFAを追加すると、すべてのユーザーがQRコードを生成するために個々の秘密鍵を取得するが、ハッカーがすでにユーザー名+パスワードを知っている場合、彼がしなければならないことはqrコードをスキャンして6桁を入力することだけである。だからTFAのポイントは何ですか？

Answer 1

TFAを追加するときは、シークレットを生成して1回のパスワードを生成する必要があります。

この秘密をあなたのユーザーと共有する方法は、QRコードを使用する方法です。ユーザーにQRコードを一度表示してから、Google認証システムやAuthyなどのオーセンティケーターアプリを使用するだけで、QRコードを読み取り、その秘密情報を保存する必要があります。

次にログインすると、アプリを使用して秘密と現在の期間に基づいてワンタイムパスワードを生成する必要があります。

最初にTFAを設定するときだけ、ユーザーをログインするときにQRコードを表示しないでください。