OTP et 2FA : bases et intégration de TOTP

Fenêtres TOTP, URI otpauth, codes de sauvegarde et limites de taux - une liste de contrôle de sécurité pour la construction de 2FA.

· Tous les guides

Comment fonctionne 2FA

2FA combine quelque chose que vous connaissez (mot de passe) avec quelque chose que vous avez (application TOTP ou clé matérielle). otp-generator crée des secrets TOTP et des URI otpauth:// pour intégrer les applications Authenticator. Les secrets de production doivent être générés par le serveur et cryptés au repos.

Toutes les essentielles TOTP

Fenêtres basées sur le temps (généralement 30 s) avec HMAC-SHA1 / 256. Permettre ± 1 fenêtre pour le biais d'horloge. Afficher les codes de sauvegarde une fois lors de l'inscription et les stocker en toute sécurité.

avec une politique de mot de passe

Password-generator crée des mots de passe à haute entropie ; password-strength marque la complexité. 2FA ne corrige pas les mots de passe faibles, mais limite la prise de contrôle après les fuites. Préférez TOTP / WebAuthn par rapport à SMS OTP (risque d'échange SIM).

Dev Debugging

Utilisez otp-generator en mise en scène pour tester les flux de QR et de codes. N'enregistrez jamais les secrets ou les codes vivants. Vérification de la limite de vitesse pour bloquer la force brute.

Outils connexes