2要素認証コードはどのくらいの期間必要がありますか？

これは、サイト、保存されている情報のレベル、およびレコードのTTL（存続時間））に本当に依存します。Googleは、人々のさまざまなアカウントを処理する傾向があります：gmail、YouTube 、ブロガー、Androidアカウント、検索履歴、連絡先、カレンダーなど、スピアフィッシャーが望むものすべて。同様に、彼らのアプリ Google Authenticator は、キーを頻繁に変更します。

あなたの税務サイトは、セキュリティの幻想に向かっている可能性が高いですが、スマートフォンでアプリを使用していて、メールがスマートフォンとスマートフォンに届いたとするなど、2つの要素が侵害された場合、正当な理由がある可能性があります。盗まれた場合、パスフレーズがどれだけ長いかは問題ではありません。ただし、TTL=が長い場合、特定のアカウントを強引に誰かにブルートフォースするためのDDoSマスクをブロックするサイトが装備されていない場合は、長いキーを使用することをお勧めします。長さ。クレジットシステムが州のそれと似ている場合、彼らはあなたの身元を保護しようとしています。

TTLが短い場合、短い数値でも問題ありません。30秒間で6桁のコードを推測できる場合は、偶発的に 衝突 の可能性が低くなります。 =。ほとんどのWebサーバーは、商業的でない限り、数文字より長いパスワードをブルートフォースで強制するために必要な1秒あたりの接続数を許可していません。商業サーバーは、同じデータベースへの同時接続を許可する傾向があります。

理想的には、アプリケーションフレームワークは複数の侵入の試みに気づき、すぐにアカウントをロックします。そのため、長すぎず、短すぎないUXに戻ります。