2FA 输入验证通过的状态应该保存多久,业界是否有这方面的标准?

2018-10-04 06:54:17 +08:00
 Livid
两步验证的验证码输入正确之后,这个状态应该保存多长时间呢?我知道现在 V2EX 的设定可能短并且不合理,我好奇的是目前业界是否有这方面的标准可以学习?
4145 次点击
所在节点    信息安全
12 条回复
Valyrian
2018-10-04 06:57:59 +08:00
如果达到一定时间并且期间没有登陆才删除吧
liwufan
2018-10-04 07:14:17 +08:00
手机装 app (战网 steam 谷歌)一分钟刷新一次那种也算 2fa 吧,短信邮件万一还没收到就失效就傻了
Septembers
2018-10-04 07:25:28 +08:00
2FA 通过状态我觉得应该与 session 的生命周期保持一致吧?

关键操作为认为可以学习 github 再增加一次验证。
https://help.github.com/articles/sudo-mode/
chinvo
2018-10-04 07:54:11 +08:00
大部分是 30 天,Google 有自己的风控逻辑,不触发风控是永久信任设置的。
chinvo
2018-10-04 07:55:36 +08:00
@chinvo #4 设置 -》 设备
Kahnn
2018-10-04 08:28:01 +08:00
我觉得 V2EX 确实短了,感觉经常要重新验证,所以我把两步验证关了……
oott123
2018-10-04 10:04:12 +08:00
一般来讲,如果选中了「 remember this device 」之类的选项,会保存得比帐号登录的 session 保存的时间还要长…
chinvo
2018-10-04 10:10:29 +08:00
另外只要登录状态有效,大部分会自动刷新信任过期

现在 v2 登录状态下被要求 2fa 感觉怪怪的
imn1
2018-10-04 12:27:07 +08:00
@chinvo #8 +1
2FA 理应敏感操作才触发,有时候在桌面看着看着就触发了,连发帖回帖都不是,还要开个手机
不能把 2FA 当验证码用啊
phy25
2018-10-04 13:03:07 +08:00
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
https://www.owasp.org/index.php/Authentication_Cheat_Sheet

本质上感觉这个是 session management 的问题,然而刚才粗粗搜了下 OWASP 也没特意说。
iVeego
2018-10-04 13:39:10 +08:00
顺便提个 bug, 有时候 2fa 的验证码明明是对的,但是提示错误,等到刷新到下一个就可以了。这个 bug 偶尔会复现,不是每次都是这样。
Jzer0n
2018-10-04 14:45:38 +08:00
同感觉 V2 的触发太频繁了, 不知道 Livid 是根据什么重置的.

我 Google 的 2FA 验证, 同样的电脑验证过一次后就没有触发过, 其中更换了多个 4G 无线路由器的连接网络, 广东移动, 广东电信, 广东联通, 浙江电信, 北京联通都没有触发.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/494804

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX