那些遇到过的问题

存储TOTP的密钥

Gre*_*reg 6 authentication encryption sql-server-2008 google-authenticator

我正在设置我的网站(C#/ SQL 2008)以允许使用Google身份验证器进行双因素身份验证.我有网站工作,从获取QR码到生成上一个/当前/下一个键(我很高兴接受3,以防时钟不同步).

显然,我们需要为每个用户生成一个密钥,否则每个用户都会拥有相同的一次性密码.

我的问题是存储此密钥的最佳做法是什么?我可以将它作为纯文本存储在users表中,还是应该加密?

cri*_* _b 3

为什么不是varchar?据我所知,谷歌的二维码是一个字母数字字符串(你可以手写,以防你懒得安装二维码扫描仪)

在我的个人大学项目中,我生成了一个 128 个字符长的字母数字字符串,并将其发送到我的自定义 TOTP 应用程序,我的数据库将此信息存储为 VARCHAR(128) ,

我认为最佳实践答案取决于密钥有多大以及密钥空间是如何定义的,而不是 62 个字母数字,为什么不使用整个 ascii 表?你需要将你的密钥存储为 varbyte 对吗?

  • “只要你的服务器是安全的,就不需要加密密钥”。这对我来说听起来不太正确。这不是说如果你的服务器没有被黑客攻击,那么你就不需要对用户密码进行哈希处理吗?当然,您会尽可能地保护服务器,但为了以防万一,您仍然对用户密码进行散列和加盐处理。 (7认同)
  • 我期待这个:是的,您对用户密码进行哈希和加盐,但是如果您想对 TOTP 密钥执行相同的操作,那么您的 TOTP 客户端而不是秘密密钥参数将必须管理一个密钥和一个哈希来计算另一个密钥,因此您无法避免您的 TOTP 客户端将存储密钥的清晰版本的事实 (2认同)

归档时间:

查看次数:

1721 次

最近记录:

12 年,10 月 前
相关归档
kubectl 版本错误:exec 插件配置为使用 API 版本 client.authentication.k8s.io/v1alpha1 40
在IF语句中将变量设置为SCOPE_IDENTITY 12
Last Pass chrome extension creating a div that blocks clicks 12
Spring自定义身份验证过滤器和提供程序不调用控制器方法 9
iOS:提交到应用商店时,MD5哈希是否被视为"加密"? 7
是否可以从Sql Server返回空行? 6
自定义web2py注册 4
为什么我的SSRS报告中缺少CSV导出? 3
使用公共相关子查询有效地拉出不同的列 3
如何在没有前导零的情况下在 SQL 中显示日期 2
难疑归档
如何更新GitHub分叉存储库? 3390
将(移动)子目录分离到单独的Git存储库中 1712
如何将包含历史记录的SVN存储库迁移到新的Git存储库? 1486
类型检查:typeof,GetType还是? 1435
在YAML中,如何在多行中断字符串? 1388
"无法找到或加载主类"是什么意思? 1277
有效地使用Git和Dropbox? 1117
git:撤消所有工作目录更改,包括新文件 1108
将绘图保存到图像文件,而不是使用Matplotlib显示它 1060
如何将div中的绝对定位元素居中? 1034