Срок действия аутентификатора Google (или дрейф?)

Question

Я использую самоцвет, чтобы включить многофакторную аутентификацию Google для моего приложения. https://github.com/jaredonline/google-authenticator

Мы хотим начать использовать текстовые сообщения, чтобы сделать это более доступным, и мне было интересно, знает ли кто-нибудь, можно ли контролировать истечение токенов? Будут ли удары дрейфа до 300 секунд? Просто интересно, если кто-то еще столкнулся с этим. Благодаря!

Answer 1

В принципе, да.

Вы не можете изменить длину маркера GA (должно быть 30 секунд), но дрифт позволит вам установить окно для того, насколько старше может быть токен. Основная библиотека ROTP будет вычислять все токены за время и успешно, если они совпадают.

Но вы, вероятно, не хотите, чтобы высокое окно. Безопасность исходит от пользователя, а сайт (в основном) синхронизирован. Вы должны учитывать немного дрейфа между вашим сервером и устройством пользователя, но что-то большее, чем ~ 30 секунд, будет в основном зависеть от ваших пользователей. Это 6-значный номер - не нужно забирать 5 минут.