OTP e 2FA: Fundamentos e Integração do TOTP

janelas TOTP, URI otpauth, códigos de backup e limites de taxa - uma lista de verificação de segurança para a construção de 2FA.

· Todos os guias

Como funciona o 2FA

O 2FA combina algo que você conhece (senha) com algo que você tem (app TOTP ou chave de hardware). O otp-generator cria segredos TOTP e URI otpauth:// para integrar aplicativos de autenticação. Segredos de produção devem ser gerados pelo servidor e criptografados em repouso.

TOTP Essentials

Janela baseada em tempo (geralmente 30s) com HMAC-SHA1 / 256. Permitir ± 1 janela para o desvio do relógio. Mostre os códigos de backup uma vez na inscrição e armazene-os de forma segura.

Com a política de senha

Password-generator cria senhas de alta entropia; password-strength pontua complexidade. O 2FA não corrige senhas fracas, mas limita a aquisição após vazamentos. Preferir TOTP / WebAuthn em vez de SMS OTP (risco de troca de SIM).

Dev Debugging

Use o otp-generator em estágios para testar fluxos de QR e código. Nunca registre segredos ou códigos vivos. Verificação de limite de taxa para bloquear a força bruta.

Ferramentas relacionadas