【发布时间】:2021-03-30 10:28:23
【问题描述】:
我目前正计划实施 2FA,要求用户通过 SMS 提供代码以执行某些操作,例如登录。我还将使用 Google Authenticator 等工具,但我不希望用户强制下载应用程序,这就是为什么我还需要通过 SMS(或可能的电子邮件)发送代码。
到目前为止我的计划是:
- 用户想要登录并请求验证码
- 后端生成一个数字代码,将其存储在 DB 中,并将数据库条目的 ID(或选择器)返回给前端
- 前端在用户电子邮件和密码旁边显示一个代码输入字段
- 代码通过短信/电子邮件发送给用户
- 用户现在有 5 分钟的时间将选择器 + 代码 + 电子邮件 + 密码发送到所有这些都得到验证的后端
关于这个的2个问题:
1) 处理代码过期
我的第一个想法是将代码仅像密码一样存储在数据库中,但我必须自己实现 5 分钟到期。当然我可以添加另一个带有时间戳的列来检查过期时间,但我宁愿选择更安全的东西。
现在我正在考虑将代码存储在数据库中 json Web 令牌的声明对象中,并将此令牌的到期时间设置为 5 分钟。因此,在 5 分钟结束后,解析 Web 令牌以将其与用户发送的代码进行比较失败。这将允许我在发生攻击情况时仅更改网络令牌的秘密,所有现有代码将立即失效。
这是一个好方法吗?或者你们认为这有什么问题,或者有没有更好的方法来处理它?或者是否也有一个用于哈希密码的库?
2) 验证和处理暴力攻击
由于我只想向用户发送 6 位或最多 8 位数字代码,因此我必须实施某种针对暴力攻击的保护(假设攻击者知道用户的电子邮件和密码)。
我想做什么:
- 如果发送了一次无效代码,则增加该特定代码 db 条目的失败尝试次数 += 1
- 如果代码超过 3 次失败尝试,则使数据库中的代码无效并要求用户请求新代码
- 当用户请求新代码时,让他等待 1 分钟才能请求新代码,将最后一次失败尝试的日期作为时间戳存储在用户数据库条目中以及 1 分钟延迟
- 如果第三个代码失败,存储新的时间戳并将延迟加倍到 2 分钟 ... 等等。在 3 个失败的代码之后,还需要一个 JS 挑战(Google Recaptcha)。
- 重试 5 次后,我将锁定帐户并等待用户与我们联系。
这是一种处理代码验证的安全方法吗?
【问题讨论】:
-
我想知道您是否考虑过采用其中一种身份验证即服务系统? Onelogin、Okta、Ping、Auth0 等。您将能够直接处理 FIDO 密钥、SMS 2f、各种联合系统等。
-
还有,别忘了一定要提前验证短信号码,防止作恶者欺骗验证。
-
嘿琼斯,当然,用户必须在注册时验证设备。是的,我考虑过其中一些服务,但大多数都有缺点。有些需要应用程序,有些不能通过电子邮件发送令牌,有些价格昂贵,其中大多数都在美国存储数据,在那里会遇到一些 GDPR 问题。另外,我想了解自己构建它的问题在哪里,看看我的方法是否正确:)
标签: security jwt brute-force two-factor-authentication