自己网站的管理后台,只用 TOTP 做身份认证可以吗?

2018-08-08 11:57:46 +08:00
 mrchi

RT,自己的小博客网站想做个管理后台,也就是控制博客发布,设置博客标签和分类之类的功能。目前想直接用 TOTP 验证。

如果设置 30 秒内同一 IP 只能输入 3 次 TOTP 验证码,会不会很容易被暴力破解?

1834 次点击
所在节点    程序员
3 条回复
agagega
2018-08-08 12:06:09 +08:00
30 秒 1 次也可以吧。暴力破解不太现实,不过想一想要是万一数据库泄漏了,还是加上一个固定密码吧
sobigfish
2018-08-08 12:23:00 +08:00
固定 pin (字母或者数字)+totp 一起输入 后台验证 稍微好点?
@agagega #1 数据库都泄露了的话怎么都不安全了
honeycomb
2018-08-08 12:50:21 +08:00
totp 是 secret 的摘要,它的一般用法适合密钥或别的 credential 一起使用,以减低风险。

如果要单用 totp,是需要用比较长的摘要比较好,但 totp 协议里好像只规定了 6 位或 8 位数字,它们的空间太小

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/477893

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX