0
我正在使用gem爲我的應用啓用谷歌的多因素驗證。 https://github.com/jaredonline/google-authenticator谷歌驗證器到期時間(或漂移?)
我們想要開始使用短信使其更容易訪問,而且我想知道是否有人知道您是否可以控制令牌的到期?衝擊漂移高達300秒的工作?只是好奇別人是否遇到過這個問題。謝謝!
我正在使用gem爲我的應用啓用谷歌的多因素驗證。 https://github.com/jaredonline/google-authenticator谷歌驗證器到期時間(或漂移?)
我們想要開始使用短信使其更容易訪問,而且我想知道是否有人知道您是否可以控制令牌的到期?衝擊漂移高達300秒的工作?只是好奇別人是否遇到過這個問題。謝謝!
基本上,是的。
您不能更改GA令牌的長度(必須是30秒),但漂移可以讓您設置一個窗口,表示令牌可以存在多長時間。底層ROTP庫將計算時間窗口內的所有令牌,並在有匹配的情況下成功。
但是你可能不想要一個高的窗口。安全來自用戶,並且網站(大部分)同步。你應該考慮到你的服務器和用戶設備之間有一點點漂移,但是任何超過30秒的事情都會給你的用戶帶來不利影響。這是一個6位數字 - 它不應該需要5分鐘才能輸入。