使用一个秘密生成 totp 与使用多个秘密

为增强网站安全性，计划采用 Google 身份验证器和 TOTP 算法实施两因素认证。在生成 QR 密钥时，提出两个疑问：是否可避免将秘密存储在数据库中，以及将主密钥与用户 ID 生成哈希码是否安全。

我想在我的网站上使用 google 身份验证器和 totp 算法进行 2fa。我有 2 个关于生成 QR 密钥的问题。

我计划使用保管库来存储秘密以更加安全，但我的问题是否有其他方法可以每次生成秘密而不是将其存储在某些存储中？

我在教程中读到，我需要为每个用户使用随机秘密并将该秘密存储在数据库中以进行 otp 验证。

我的想法是将特定秘密存储在安全的地方，并使用每个用户的该秘密生成哈希。例如，使用 mySecret+userId 生成哈希

这样安全吗？

解决方案

使用主密钥并使用 sha256 生成用户密钥是一个坏主意。因为生成的秘密和 QR 总是相同的。如果用户丢失了手机并想要删除二维码并获取新的二维码，这是不可能的。最佳实践是生成随机秘密并将其存储在保管库中。

本篇关于《使用一个秘密生成 totp 与使用多个秘密》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于Golang的相关知识，请关注golang学习网公众号！