Security

當需要有兩個人訪問時,如何使用多因素身份驗證?

  • December 24, 2019

對於比特幣交易所的商業賬戶,兩個人中的任何一個都需要能夠發送比特幣或提款。此帳戶將配置雙重身份驗證。

位於不同辦公室的兩名企業員工如何分別訪問該帳戶?

交換將特別針對使用 Google Authenticator OTP 的 BitFloor,但同樣的問題也適用於使用 Mt. Gox,例如 Yubikey。

使用 Google Authenticator,您將條碼掃描到手機中,無論應用程序是否打開,它都會每分鐘生成一個臨時的 6 位數密鑰。它不限於一個人,只限於一個帳戶。這些程式碼依賴於時間同步,因此當驗證碼過期時,它也會在網站上過期。大多數使用兩種協議 - HOTP 和 TOTP。

此答案的亮點:https ://security.stackexchange.com/a/35159

HOTP = 客戶端和伺服器共享一個計數器,當程式碼生成時,計時器遞增,產生一個新的一次性登錄程式碼。

TOTP = HOTP,除了計數器被目前時間代替。只要係統時間同步,客戶端和伺服器都將在同一頁面上,只要目前的 2FA 程式碼是正確的。

如果多人掃描此條碼,他們都會生成相同的密鑰。因此,您需要做的就是在設置兩步身份驗證時讓兩個人都在場(或者如果他們的時間表不兼容,則保存條碼,但請務必稍後將其撕碎),並且他們都可以隨時訪問該帳戶他們要。

由於最佳 OpSec 實踐,最好有單獨的 2FA 密鑰,或使用替代方法,例如密鑰對身份驗證,其中每個使用者都有自己的密鑰來訪問伺服器。這更適合審計目的,您可以更輕鬆地確定不同使用者之間的差異,特別是如果一個使用者決定使用共享身份驗證程式碼進行惡意操作。

引用自:https://bitcoin.stackexchange.com/questions/4197