Да, кажется, есть некоторая путаница о том, как эти различные компоненты подходят друг к другу.

Стандарт TOTP: RFC6238
RFC6238 базирующаяся на открытых стандартах, который позволяет удаленному пользователю (пользовательский форум) и веб-сайт (Bitcoin ток-форум), чтобы создать один и тот же код, в то же время. Это время на основе маркеров. Входы для алгоритма являются разделяемым секретом и текущее время. Обратите внимание, это требованию на общедоступном веб-сайт, а пользователь запустить тот же алгоритм, но они не должны даже быть созданы одним и тем же кодовым до тех пор, как они правильно реализовать RFC6238. реализация сайта и удаленное внедрение. Это как оба объекта может "знать" тот же код, в то же время без каких-либо коммуникаций. Сайт (любой сайт) просто нуждается в реализации RFC6238.

https://tools.ietf.org/html/rfc6238

Сайт должен работать код, который позволит ему назначить общий секрет для каждого пользователя (часто в виде QR-кода) и сохранить эти общие секреты в авторизации таблицах базы данных. Когда позже пользователь предоставляет TOTP сайт будет принимать общий секрет & текущее время, чтобы сгенерировать код и посмотреть, если это соответствует тому, что предоставляет пользователям.

Google действительно обеспечивает исходный код для этого, но сайт не нужно запускать Google код любой реализации общественного сервер RFC6238 будет работать с любой клиентской реализации. То есть вся суть открытого стандарта.

http://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm#Public_Server_Implementations

Так как, например, веб-сайт может использовать OATH Toolkit (реализация общественного сервер RFC6238) и пользователь, который имеет Google Authenticator (реализация клиентской RFC6238) может генерировать правильный код. Я предполагаю, что лучшая аналогия была бы веб-сервер и веб-браузер. Они оба реализуют протокол HTTP. Вам не нужно использовать хром веб-сервер Google, чтобы для пользователей, работающих в Google Chrome браузер, чтобы увидеть свой сайт.

http://www.nongnu.org/oath-toolkit/




OpenID
OpenID не 2fa. Это просто проверка подлинности. Это позволяет использовать сайт вы УЖЕ должны зарегистрироваться на новых сайтах в безопасном режиме (владельцы сайта не могут связать идентичности вместе). Обратите внимание, что это не 2fa это просто замена для обычного входа. Теперь, если ваш OpenID Войти ИМЕЕТ 2fa (то есть вы использовать GMail = открытый ID провайдера и ваш аккаунт Gmail имеет 2fa), то это может быть более безопасным, но если ваша учетная запись OpenID имеет свой адрес электронной почты в качестве имени пользователя и пароля "пароль" он не собирается быть более безопасным.

http://openid.net/get-an-openid/