用2FA防止帐户枚举

Question

当帐户具有可选的双因素身份验证时，有哪些方法可以防止登录时的帐户枚举？

如果没有两个因素的身份验证，我们只会返回相同的响应，因为错误的用户名、错误的密码和帐户不存在。但是对于可选的2FA，前端需要一些方法来问“我应该显示第二个因素UI吗？”在最好的情况下，如果一个帐户有2FA，该机制就会确认它确实存在，但是没有2FA时，既不确认也不反驳帐户的存在。

Answer 1

只允许前端询问是否应该在密码已通过身份验证后显示2FA用户界面。

这甚至不必是单独的API，它可以是现有登录API的一部分。登录API可以使用用户名和密码，并返回如下内容：

• 无效用户名或密码或不存在帐户的Invalid
• 所需第二个因素的2FA required
• 成功登录的Success (不需要第二个因素)