清关和 2FA（或 MFA）

Question

我正在使用Clearance 在我的 Rails 应用程序上进行身份验证。越来越多的用户要求我实施某种 2 因素身份验证。我在想，登录后，用户可以选择使用 2FA，而不是使用电子邮件和密码登录。

您建议我使用哪种 2FA？我的用户大多是使用该应用程序进行团队合作的公司。他们想拥有

选择太多，我有点迷茫。为了简单起见，我目前正在查看 Google Authenticator。这是一个不错的选择吗？其他选项呢，比如向他们的电子邮件地址发送一个魔术链接，以通过单击对其进行身份验证（如果用户已离开组织并且不再有权访问该邮箱，这具有拒绝身份验证的好处）。

如何使这种身份验证与我目前用于身份验证的 Clearance 一起工作？

Answer 1

首先，我不建议允许用户单独使用 2FA 代码登录。毕竟是第二因素；大多数情况下，它包含的熵少于用户密码。

我建议将基于时间的一次性密码 (TOTP) 与 Google Authenticator 一起用作客户端的令牌管理应用程序。使用Active Model OTP Gem 可以轻松集成到 Rails 中。

通过电子邮件或短信发送一次性代码并不是最好的方法。 SMS' 可以通过phone number spoofing 窃取，如果攻击者控制了用户的电子邮件地址，则电子邮件代码会破坏 2fa，它还可以执行密码重置，使其成为帐户接管的一站式商店。

如果您想使用真正的最先进技术，请查看依赖加密签名的 U2F。

当与Clearance 集成时，请务必在验证他们的用户名和密码后验证 2FA 令牌，尤其是在您使用 TOTP 时。