这是一个创建于 2574 天前的主题,其中的信息可能已经有所发展或是发生改变。
两步验证的验证码输入正确之后,这个状态应该保存多长时间呢?我知道现在 V2EX 的设定可能短并且不合理,我好奇的是目前业界是否有这方面的标准可以学习?
第 1 条附言 2018-10-10 18:07:09 +08:00
已经对这部分的逻辑做了更新,现在在输入正确之后,不会再像之前那样需要频繁重新输入。
谢谢大家的反馈。
谢谢大家的反馈。
 | 1 Valyrian 2018-10-04 06:57:59 +08:00 via iPhone 如果达到一定时间并且期间没有登陆才删除吧 |
 | 2 liwufan 2018-10-04 07:14:17 +08:00 via iPhone 手机装 app (战网 steam 谷歌)一分钟刷新一次那种也算 2fa 吧,短信邮件万一还没收到就失效就傻了 |
 | 3 Septembers 2018-10-04 07:25:28 +08:00 via Android 2FA 通过状态我觉得应该与 session 的生命周期保持一致吧? 关键操作为认为可以学习 github 再增加一次验证。 https://help.github.com/articles/sudo-mode/ |
 | 4 chinvo 2018-10-04 07:54:11 +08:00 via iPhone 大部分是 30 天,Google 有自己的风控逻辑,不触发风控是永久信任设置的。 |
 | 6 Kahnn 2018-10-04 08:28:01 +08:00 我觉得 V2EX 确实短了,感觉经常要重新验证,所以我把两步验证关了…… |
 | 7 oott123 2018-10-04 10:04:12 +08:00 via Android 一般来讲,如果选中了「 remember this device 」之类的选项,会保存得比帐号登录的 session 保存的时间还要长… |
| 8 chinvo 2018-10-04 10:10:29 +08:00 via iPhone  1 另外只要登录状态有效,大部分会自动刷新信任过期 现在 v2 登录状态下被要求 2fa 感觉怪怪的 |
 | 9 imn1 2018-10-04 12:27:07 +08:00 |
 | 10 phy25 2018-10-04 13:03:07 +08:00 https://www.owasp.org/index.php/Session_Management_Ceat_Sheet https://www.owasp.org/index.php/Authentication_Cheat_Sheet 本质上感觉这个是 session management 的问题,然而刚才粗粗搜了下 OWASP 也没特意说。 |
 | 11 iVeego 2018-10-04 13:39:10 +08:00 via Android 顺便提个 bug, 有时候 2fa 的验证码明明是对的,但是提示错误,等到刷新到下一个就可以了。这个 bug 偶尔会复现,不是每次都是这样。 |
 | 12 Jzer0n 2018-10-04 14:45:38 +08:00 同感觉 V2 的触发太频繁了, 不知道 Livid 是根据什么重置的. 我 Google 的 2FA 验证, 同样的电脑验证过一次后就没有触发过, 其中更换了多个 4G 无线路由器的连接网络, 广东移动, 广东电信, 广东联通, 浙江电信, 北京联通都没有触发. |
Select Language