OTP と 2 FA : TOTP の基本と統合

TOTP ウィンドウ、 otpauth URI 、バックアップコード、およびレート制限 —2 FA を構築するためのセキュリティチェックリスト。

· すべてのガイド

2FA の仕組み

2 FA は、あなたが知っているもの ( パスワード ) とあなたが持っているもの ( TOTP アプリまたはハードウェアキー ) を組み合わせます。otp—generator は、 Authenticator アプリケーションを統合するための TOTP シークレットと otpauth: / / URI を作成します。プロダクションシークレットはサーバで生成され、休止状態で暗号化されます。

TOTP エッセンシャル

HMAC—SHA1 / 256 を使用した時間ベースのウィンドウ ( 通常 30 秒 ) 。± 1 ウィンドウのクロックスキューを許可します。登録時にバックアップコードを 1 回表示し、安全に保管してください。

Password Policy

password—generator は高エントロピーのパスワードを作成しますパスワード強度は複雑さを評価します2 FA は弱いパスワードを修正しませんが、リーク後の乗っ取りを制限します。SMS OTP よりも TOTP / WebAuthn を好む ( SIM スワップリスク ) 。

開発デバッグ

ステージングで otp—generator を使用して QR とコードフローをテストします。秘密やライブコードをログに記録しないでください。ブルートフォースをブロックするレート制限検証。

関連ツール