分享QR码用于TOTP身份验证的最佳方式

我目前正在开发基于服务器的TOTP实现，以便通过使用OTP代码来加强用户的身份验证。但我想知道如何与最终用户第一次分享QR码（或密钥）？肯定电子邮件不是最好的选择，但因为我不会与最终用户有身体接触，所以难以以另一种方式共享QR码...分享QR码用于TOTP身份验证的最佳方式

如果结束了与TOTP有关的另一个问题用户正在失去其手机来生成其代码，我是否允许最终用户生成新的QR码？但在那种情况下，我该如何分享？（实际上这是同样的问题....）

2017-10-20 tiamat

如果你真的想保持你的服务器的安全，你不应该通过任何方式共享QR码/ OTP设置代码，但那不是很实用。

一个选项是在用户登录时禁用两个因素，然后重新启用并让用户设置它 - 这是最安全的方式，但不是非常易于管理。

另一种选择是通过安全的消息传递协议与用户分享QR码，然后要求用户重置密码并重新设置双因素。

你在你的服务器上运行什么操作系统，这是SSH访问？

2017-10-25 02:06:30

我正在使用Linux服务器，并且这是用于Intranet Web应用程序上的用户身份验证 – tiamat

回答