为2FA实现生成恢复代码

Question

我已经在一个项目上实现了一个2FA auth，它可以很好地使用不同的身份验证器，这是很棒的。

现在，我正在开发流程的一部分恢复代码，这些代码由实现2FA的服务提供，如Google和GitHub。

我用一定的长度和任意数量生成它们。我怀疑如何才能正确地储存它们？

• 我该把它们弄碎吗？我问这个问题是因为这是一个简单的回答--是的，它更安全，但是我看到像Github这样的页面允许您在激活2FA之后显示代码，所以我需要一种不同类型的散列。
• 那么密钥(TOTP 2FA)呢，它也应该被散列吗？

谢谢大家

Answer 1

你应该破解恢复代码，而不是秘密。如果您散列该秘密，则在检查TOTP代码时无法恢复它。

根据RFC6238

• 每个验证器都必须有一个独特的秘密(密钥)。
• 应该使用密钥派生算法随机生成或派生密钥。
• 这些密钥可以存储在防篡改设备中，并且应该受到保护，以防止未经授权的访问和使用。

您可以存储加密的TOTP秘密，并在用户试图验证代码时对其进行解密，但由于明显的原因，无法存储散列。