这是一个创建于 2234 天前的主题,其中的信息可能已经有所发展或是发生改变。
两步验证的验证码输入正确之后,这个状态应该保存多长时间呢?我知道现在 V2EX 的设定可能短并且不合理,我好奇的是目前业界是否有这方面的标准可以学习?
第 1 条附言 · 2018-10-10 18:07:09 +08:00
已经对这部分的逻辑做了更新,现在在输入正确之后,不会再像之前那样需要频繁重新输入。
谢谢大家的反馈。
谢谢大家的反馈。
 |
1
Valyrian 2018-10-04 06:57:59 +08:00 via iPhone
如果达到一定时间并且期间没有登陆才删除吧
|
 |
2
liwufan 2018-10-04 07:14:17 +08:00 via iPhone
手机装 app (战网 steam 谷歌)一分钟刷新一次那种也算 2fa 吧,短信邮件万一还没收到就失效就傻了
|
 |
3
Septembers 2018-10-04 07:25:28 +08:00 via Android
2FA 通过状态我觉得应该与 session 的生命周期保持一致吧?
关键操作为认为可以学习 github 再增加一次验证。 https://help.github.com/articles/sudo-mode/ |
 |
4
chinvo 2018-10-04 07:54:11 +08:00 via iPhone
大部分是 30 天,Google 有自己的风控逻辑,不触发风控是永久信任设置的。
|
 |
6
Kahnn 2018-10-04 08:28:01 +08:00
我觉得 V2EX 确实短了,感觉经常要重新验证,所以我把两步验证关了……
|
 |
7
oott123 2018-10-04 10:04:12 +08:00 via Android
一般来讲,如果选中了「 remember this device 」之类的选项,会保存得比帐号登录的 session 保存的时间还要长…
|
|
8
chinvo 2018-10-04 10:10:29 +08:00 via iPhone  1
另外只要登录状态有效,大部分会自动刷新信任过期
现在 v2 登录状态下被要求 2fa 感觉怪怪的 |
 |
9
imn1 2018-10-04 12:27:07 +08:00
|
 |
10
phy25 2018-10-04 13:03:07 +08:00
https://www.owasp.org/index.php/Session_Management_Cheat_Sheet
https://www.owasp.org/index.php/Authentication_Cheat_Sheet 本质上感觉这个是 session management 的问题,然而刚才粗粗搜了下 OWASP 也没特意说。 |
 |
11
iVeego 2018-10-04 13:39:10 +08:00 via Android
顺便提个 bug, 有时候 2fa 的验证码明明是对的,但是提示错误,等到刷新到下一个就可以了。这个 bug 偶尔会复现,不是每次都是这样。
|
 |
12
Jzer0n 2018-10-04 14:45:38 +08:00
同感觉 V2 的触发太频繁了, 不知道 Livid 是根据什么重置的.
我 Google 的 2FA 验证, 同样的电脑验证过一次后就没有触发过, 其中更换了多个 4G 无线路由器的连接网络, 广东移动, 广东电信, 广东联通, 浙江电信, 北京联通都没有触发. |
Select Language