可以在多因素代码输入屏幕中显示数字数吗？

Question

有安全意识的UX设计师在这里。

一些用户界面显示UI中输入第二因素安全代码的字符数。这样做有风险吗？

使用更基本的输入类型有多安全？

Answer 1

提供数字的数量显然有利于可用性。

对攻击者的数字数的了解限制了试图破解安全代码时的搜索空间，因此它显然限制了安全性。但是，如果数字的数量足够大，或者对尝试输入安全代码的频率有限制，那么这个有限的搜索空间仍然足够安全。

因此，如果有疑问，我建议在安全代码中增加一个数字，而不是过多地限制可用性。不管怎么说，攻击者通常很快就会知道要用其他方法使用多少位数，也就是说，仅仅将其隐藏在用户界面中通常并不能完全保护这些信息。

Answer 2

正如Steffen所说，UX的胜利是显而易见的--与攻击表面相比，数据输入的容易程度很小。此外，如果在服务器端正确地实现，一旦您使用代码，它就不能被重用-因此，即使冲浪不应该是一个非常有效的攻击在这里。

然而，这也假定代码是真正随机生成的。如果在代码的生成中包含了足够多的非随机元素，例如，如果这是一个离线(基于TOTP的)代码，但没有足够的额外随机性，那么只知道几个一次性代码以及生成它们的时间就可以用于破译一个微弱的秘密。

但是由于这些文件是通过电子邮件发送给用户的，只要它们是随机生成的，很快就过期了，并且会被节流，以防止对web界面的直接蛮力猜测.在数据输入期间向用户显示代码本身应该是低风险的。