7

Google Authenticatorを使用した2要素認証を許可するように自分のWebサイト(C#/ SQL 2008)をセットアップしようとしています。QRコードの取得から前/現在/次のキーの生成まで、サイトは機能しています(時計が同期していない場合に備えて、3つを受け入れて満足しています)。

明らかに、ユーザーごとに秘密鍵を生成する必要があります。そうしないと、すべてのユーザーが同じワンタイムパスワードを使用することになります。

私の質問は、このキーを保存するためのベストプラクティスは何ですか?ユーザーテーブルにプレーンテキストとして保存できますか、それとも暗号化する必要がありますか?

4

1 に答える 1

2

なぜvarcharではないのですか?私が知っている限り、グーグルからのqrコードは英数字の文字列です(qrコードスキャナーをインストールするのが面倒な場合に備えて、手書きで書くことができます)

大学の個人的なプロジェクトでは、128文字の長さの英数字の文字列を生成してカスタムTOTPアプリに送信します。データベースには、この情報がVARCHAR(128)として格納されます。

ベストプラクティスの答えは、62桁の英数字ではなく、キーの大きさとキースペースの定義方法に依存すると思います。ASCIIテーブル全体を使用してみませんか?キーをvarbyteとして保存する必要がありますか?

于 2013-01-13T17:40:51.670 に答える