标题几乎说明了一切。我目前正在实施两因素身份验证,想知道是否应该提供恢复代码列表。我自己甚至都没有想到这一点,但我在野外看到的大多数实现都是这样做的。例如,Github 一次生成 16 个恢复代码的列表。
有安全方面的好处吗?
很好的问题 - 我很确定这对双方来说都很容易实现 - 如果您预先生成恢复代码列表,那么您不必在每次用户使用备份代码时重新生成代码。这个想法是用户将在某个地方打印/保存它们,因此从可用性的角度来看,这使用户不必重新打印或重新保存代码。
不过,您不必使用恢复代码。 GitHub 支持一些不同的恢复选项。有些公司使用安全问题或允许您退回短信。 有些公司会让您致电支持人员并提供帐户详细信息(适用于有可信联系人的企业用例/如果您希望有少量帐户恢复案例/有一个很好的方法通过电话验证身份[免责声明,我为 Twilio 写了那篇文章])。
我去年对此进行了一次演讲,并在幻灯片中有更多建议。希望这有帮助!