我在这个主题上找不到任何帮助,因为我被告知如何实现它而不是实际工作方式。
我所知道的是两因素身份验证是通过电子邮件和电话号码对用户进行认证。
这是我的一组问题:
- 它是否通过在注册时验证其电子邮件和电话号码来验证用户?
- 它是否通过在每个登录中验证其电子邮件和电话号码来验证用户?
- 为什么每个用户都可以为其帐户设置两因素身份验证?这不是不应该由用户决定的管理员吗?
我会看看是否可以帮助您澄清。
-
它可以作为额外的安全性。传统上,您将拥有一个用户名/电子邮件和密码来进入网站。如果密码被妥协,则帐户也是如此。将电话号码添加到您的帐户将意味着只有可以访问该电话的人才能超越额外的安全性并访问您的数据。当用户通过另一个"步骤"登录之前,请在通过之前添加。一个令牌(通常是一个短期到期的数字 - 即秒)与用户登录并发送到他们的手机。他们填写表格并提交。用户正在使用(笔记本电脑/电话/桌面浏览器)登录的设备可以将其绑定到其帐户(请参见下面的第2点)。
-
可能是这种情况,但是如果以Google为例,可以选择"信任"设备登录30天。这将设备与受信任的列表(例如,可能存储在数据库中)联系起来,请在再次登录点之前进行一定的时间。
-
常见的做法是,对于用户是否具有这种额外的安全性是用户的选择。他们可能无法访问电话...那会发生什么?他们可能喜欢仅使用用户名/电子邮件和强密码的便利。.并不意味着您不能说您的系统中的设计强迫它。