PrepBro
← Назад к вопросам

Как организовать двухфакторную аутентификацию?

2.0 Middle🔥 151 комментариев
#Безопасность#Микросервисы и архитектура

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI5 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Организация двухфакторной аутентификации в Go

Организация двухфакторной аутентификации (2FA) в Go-приложениях требует комплексного подхода, сочетающего безопасные методы генерации одноразовых кодов, надежное хранилище данных и корректную интеграцию в процесс логина. Рассмотрим ключевые компоненты и их реализацию.

Выбор метода 2FA

Наиболее популярные методы для реализации в веб-приложениях:

  1. TOTP (Time-Based One-Time Password) – одноразовые коды, генерируемые на основе времени и секретного ключа. Используется в приложениях типа Google Authenticator.
  2. SMS/Email-коды – отправка одноразовых кодов через сторонние каналы.
  3. Push-уведомления – подтверждение через специализированные мобильные приложения.

TOTP является оптимальным выбором для самостоятельной реализации благодаря открытому стандарту (RFC 6238), отсутствию зависимостей от внешних сервисов и высокой безопасности.

Ключевые этапы реализации TOTP

1. Генерация и привязка секретного ключа

При включении 2FA для пользователя необходимо создать уникальный секрет, привязать его к учетной записи и предоставить QR-код для настройки в аутентификаторах.

import (
    "github.com/pquerna/otp"
    "github.com/pquerna/otp/totp"
    "image/png"
)

func GenerateTOTPSecret(userID string) (*otp.Key, error) {
    key, err := totp.Generate(totp.GenerateOpts{
        Issuer:      "MyApp",
        AccountName: userID,
        SecretSize:  20, // 160 бит, стандартный размер
    })
    if err != nil {
        return nil, err
    }
    
    // Сохранить secret (key.Secret()) в БД, связав с userID
    // Для отображения QR-кода:
    // img, err := key.Image(200, 200)
    return key, nil
}

Секрет (key.Secret()) должен храниться в БД в зашифрованном виде (например, с использованием crypto/aes). Никогда не храните секрет в plain text!

2. Верификация кода при аутентификации

После успешной проверки основного пароля, система запрашивает 6.8-значный код из приложения-аутентификатора. Для проверки используется сохраненный секрет.

func VerifyTOTPCode(userSecret string, userCode string) bool {
    valid, err := totp.ValidateCustom(userCode, userSecret, time.Now(), totp.ValidateOpts{
        Period:    30,    // Интервал изменения кода (сек)
        Skew:      1,     // Допуск по времени (±1 период)
        Digits:    otp.DigitsSix, // 6 цифр
    })
    if err != nil {
        return false
    }
    return valid
}

Skew позволяет компенсировать возможную рассинхронизацию времени между сервером и устройством пользователя.

3. Интеграция в процесс логина

Стандартный flow с 2FA:

func LoginHandler(username, password, totpCode string) {
    // 1. Проверка основного пароля
    user, err := auth.VerifyPassword(username, password)
    if err != nil {
        return error
    }
    
    // 2. Проверка необходимости 2FA (флаг в БД)
    if user.TOTPEnabled {
        // 3. Если код не предоставлен — требуем его ввод
        if totpCode == "" {
            return "2FA_REQUIRED"
        }
        
        // 4. Верификация TOTP кода
        encryptedSecret := decrypt(user.EncryptedTOTPSecret, encryptionKey)
        if !VerifyTOTPCode(encryptedSecret, totpCode) {
            return "INVALID_TOTP_CODE"
        }
    }
    
    // 5. Создание сессии/токена
    session := CreateSession(user.ID)
    return session
}

Безопасное хранилище секретов и резервные коды

  • Хранение секретов: Используйте симметричное шифрование (AES-GCM) для секретов в БД. Мастер-ключ должен храниться отдельно (например, в KMS или секрет-менеджере).
  • Резервные коды: Предоставьте пользователю набор одноразовых статических кодов на случай утери устройства. Генерируйте их как случайные строки, храните хэши (bcrypt или argon2id) и помечайте как использованные.
func GenerateBackupCodes() []string {
    codes := make([]string, 10)
    for i := 0; i < 10; i++ {
        codes[i] = GenerateRandomString(8) // Алфавит цифр и букв
    }
    // Сохранить хэши codes в БД
    return codes
}

Дополнительные меры безопасности

  • Лимит попыток: Блокировка повторных попыток ввода кода после 5-10 неудач (предотвращает брутфорс).
  • Асинхронная верификация: Проверка кода должна выполняться независимо от основной проверки пароля, чтобы не раскрывать статус пароля при ошибке 2FA.
  • Отслеживание устройств: При желании можно отслеживать и требовать повторную настройку при входе с нового устройства.

Использование сторонних библиотек

Для реализации TOTP в Go рекомендую библиотеку github.com/pquerna/otp, которая полностью соответствует RFC 6238. Для работы с QR-кодами можно использовать github.com/skip2/go-qrcode.

Заключение

Организация 2FA в Go требует:

  1. Выбора метода (TOTP — наиболее универсальный).
  2. Безопасной генерации и шифрованного хранения секретов.
  3. Корректной интеграции проверки кода в процесс аутентификации с обработкой всех состояний (2FA отключена/не предоставлен код/неверный код).
  4. Реализации дополнительных функций: резервные коды, лимиты попыток, восстановление.

Ключевые принципы — не хранить секреты в открытом виде, использовать стандартные криптографические библиотеки Go (crypto), и всегда предусматривать механизмы восстановления для пользователей. Реализация 2FA значительно повышает безопасность приложения, но должна быть тщательно продумана и реализована с учетом всех best practices.

Как организовать двухфакторную аутентификацию? | PrepBro