OTP y 2FA: Básicos e integración de TOTP

Ventanas TOTP, URI de otpauth, códigos de copia de seguridad y límites de velocidad: una lista de verificación de seguridad para construir 2FA.

· Todas las guías

Cómo funciona el 2FA

2FA combina algo que conoce (contraseña) con algo que tiene (aplicación TOTP o clave de hardware). otp-generator crea secretos TOTP y URI otpauth:// para integrar aplicaciones de autenticación. Los secretos de producción deben ser generados por el servidor y cifrados en reposo.

TOTP Essentials

Ventanas basadas en el tiempo (generalmente 30s) con HMAC-SHA1 / 256. Permitir ± 1 ventana para el sesgo de reloj. Mostrar los códigos de copia de seguridad una vez en el registro y almacenarlos de forma segura.

Con la política de contraseñas

password-generator crea contraseñas de alta entropía; password-strength puntua la complejidad. 2FA no arregla contraseñas débiles, pero limita la toma de control después de filtraciones. Prefiere TOTP / WebAuthn sobre SMS OTP (riesgo de intercambio de SIM).

Debugging Dev

Utilice el generador de otp en la etapa para probar los flujos de QR y código. Nunca registre secretos ni códigos en vivo. Verificación de límite de velocidad para bloquear fuerza bruta.

Herramientas relacionadas