这种 2FA 方法会带来什么安全问题?

What would the security concerns be impleting this 2FA method?

提问人:MHINNC 提问时间:10/11/2023 更新时间:10/11/2023 访问量:19

问:

实施这种类型的 2 因素身份验证有哪些安全问题?
使用最新的MySQLi和PHP。

初始帐户设置后每次登录的步骤:

  1. 签名页表单仅包含电子邮件地址字段(已验证格式正确)。
  2. 脚本检查数据库中的电子邮件地址。
  3. 如果找到电子邮件,脚本将生成 32 位唯一 ID 号,并在具有电子邮件地址的同一表中填充列。
  4. 脚本生成一封电子邮件给用户,并在链接中嵌入了唯一 ID。
  5. 用户收到电子邮件并点击链接。
  6. 脚本接收唯一 ID,匹配它,检索电子邮件地址和密码,删除唯一 ID 并打开带有密码字段的第二个登录页面。
  7. 用户输入密码,然后通过/失败测试。
  8. 如果失败,用户可以再试 2 次。如果失败,则返回步骤 1
  9. 在尝试 3 次失败后返回步骤 1 时,将提供重置密码的链接。
  10. 密码重置表单要求与使用发送到电子邮件的唯一 ID 类似。

这还没有实现......寻求建议。

这在实践中是有效的。寻找遗漏的安全漏洞。

身份验证 安全性

评论

0赞 Gabor Lengyel 10/12/2023
这没关系,但不是 2FA。在您知道的东西(密码或电子邮件帐户访问)、您拥有的东西(令牌或设备)和您拥有的东西(生物识别)之间,多种因素应该不同。

答: 暂无答案

上一个:java.lang.NullPointerException:身份验证时为 null [重复]

下一个:Metasploit SMB 身份验证