OTP e 2FA: basi di TOTP e integrazione

Finestre TOTP, URI otpauth, codici di backup e limiti di velocità - una lista di controllo della sicurezza per la costruzione di 2FA.

· Tutte le guide

Come funziona il 2FA

2FA combina qualcosa che conosci (password) con qualcosa che possiedi (app TOTP o chiave hardware). otp-generator crea segreti TOTP e URI otpauth:// per l'integrazione delle applicazioni Authenticator. I segreti di produzione devono essere generati dal server e criptati a riposo.

Essentials di TOTP

Finestre basate sul tempo (di solito 30 secondi) con HMAC-SHA1 / 256. Permettere ± 1 finestra per la distorsione dell 'orologio. Mostra i codici di backup una volta all 'iscrizione e conservali in modo sicuro.

con la password policy

Password-generator crea password ad alta entropia; password-strength puntua la complessità. 2FA non risolve le password deboli, ma limita l'acquisizione dopo le perdite. Preferisci TOTP / WebAuthn rispetto a SMS OTP (rischio di scambio SIM).

Debugging di Dev

Utilizzare otp-generator per testare i flussi di QR e codici. Non registrare mai segreti o codici vivi. Verifica del limite di velocità per bloccare la forza bruta.

Strumenti correlati