meilleure façon de partager le code QR pour l'authentification TOTP

Question

Je travaille actuellement sur une implémentation basée sur le serveur de TOTP afin de renforcer l'authentification de l'utilisateur en utilisant un code OTP. Mais je me demande comment partager pour la première fois le QR Code (ou la clé secrète) avec l'utilisateur final? Bien sûr, le courriel n'est pas le choix préféré, mais comme je n'aurai pas de contact physique avec les utilisateurs finaux, il sera difficile de partager le code QR d'une autre manière ...

une autre question liée à TOTP si la fin l'utilisateur perd son téléphone portable pour générer son code, puis-je autoriser l'utilisateur final à générer un nouveau code QR? mais dans ce cas, comment puis-je le partager? (en fait c'est la même question ....)

Answer 1

Si vous voulez vraiment garder votre serveur sécurisé, vous ne devriez pas partager le code de configuration QR Code/OTP par quelque moyen que ce soit, mais ce n'est pas très utilisable. Une option consiste à désactiver deux facteurs lors de la connexion de l'utilisateur, puis de le réactiver et de demander à l'utilisateur de le configurer. C'est le moyen le plus sûr, mais pas très maniable.

Une autre option consiste à partager le code QR avec l'utilisateur via un protocole de messagerie sécurisé, puis de demander à l'utilisateur de réinitialiser son mot de passe et de réinstaller Two Factor.

Quel système d'exploitation exécutez-vous sur votre serveur et s'agit-il d'un accès SSH?