为 TOTP 身份验证共享 QR 码的最佳方式

Question

我目前正在开发基于服务器的 TOTP 实现，以便通过使用 OTP 代码来加强用户身份验证。 但我想知道如何第一次与最终用户共享 QR 码（或密钥）？当然，电子邮件不是首选，但由于我不会与最终用户进行身体接触，因此很难以其他方式共享 QR 码...

另一个与 TOTP 相关的问题，如果最终用户丢失手机以生成其代码，我是否允许最终用户生成新的二维码？但在那种情况下，我该如何分享呢？ （其实这是同一个问题……）

Answer 1

如果你真的想保证你的服务器安全，你不应该通过任何方式共享 QR 码/OTP 设置码，但这不是很有用。

一种选择是在用户登录时禁用两个因素，然后重新启用并让用户进行设置 - 这是最安全的方式，但不太易于管理。

另一种选择是通过安全消息传递协议与用户共享二维码，然后要求用户重置密码并重新设置 Two Factor。

您在服务器上运行什么操作系统，这是用于 SSH 访问的吗？

Answer 2

如果您需要向用户提供 QR 码，您可以使用可从外部访问的门户，但它本身受到您所提供的因素以外的因素的保护。