Есть ли способ обновить секрет OTP для пользователя при использовании Authy API?

Question

Я использую Authy API для аутентификации TOTP.Многие пользователи предпочитают использовать Google authenticator и не хотят загружать приложение Authy.Поэтому я использую API-интерфейс authy, как упомянуто здесь, чтобы получить QR-код для Google Authenticator (https://www.twilio.com/docs/authy/api/one-time-passwords#other-authenticator-apps).

). Одна проблема безопасности, которую я вижу здесь, заключается в том, что пользователи могут время от времени менять свой секретный идентификатор, а twilio - нет.У меня нет прямого API для обновления секрета. Есть ли способ достичь этого результата?

Одно из решений, которое я могу придумать, - это удалить использование и создать новое, но я надеюсь найти лучшееопция.

Answer 1

Разработчик Twilio здесь.

Каждый раз, когда вы обращаетесь к API с просьбой сгенерировать новый секретный код и QR-код, старый код становится недействительным.Поэтому, чтобы обновить секрет пользователя, просто запросите тот же API снова.

Это похоже на крайний случай, хотя я мог бы предложить вам подождать, пока пользователь запросит это, а не создавать функцию, которую вы не делаетеобязательно нужно.

Если вы ищете автоматическое управление токенами, то лучше использовать приложение Authy и сгенерированные токены Authy.Поскольку приложение и API работают вместе, токены могут автоматически запускаться Authy, и пользователю не нужно беспокоиться.

Редактировать

Мы добавили следующее к документация , чтобы уточнить это на будущее:

Обратите внимание, что каждый запрос QR-кода будет генерировать уникальное начальное число TOTP.Таким образом, вы можете иметь только один активный QR-код на пользователя для каждого защищенного сайта.Запрос дополнительного QR-кода для пользователя сделает недействительным предыдущий секрет и сгенерирует новый QR-код.