Gregory's Server
@mo авторизация с я.ключем это TOTP с солью в виде пинкода. Гугловский аутентификатор является просто TOTP.
Но вопрос не в работе ключа, а в том, что при восстановлении его нужно только подтвердить наличие у тебя в руках телефона с нужным номером. Не нужно ставить никаких фраз или устанавливать специальных вопросов. Просто вводишь номер, вводишь смс код с него и всё, тебя просят поставить новый пароль на весь аккаунт. Таким образом вся двухфакторная безопасность я.ключа (знание пинкода + владение устройством) сводится к 1 фактору: владению номером телефона.
@bano я щас почитала статью, где они описывают мотивацию сделать кастом
господи, что за пиздец то
"Согласно калькулятору, 6 цифр TOTP можно сбрутфорсить за 3 дня!!"
Они там совсем угашенные были в 2015, что у них можно было просто так 3 дня непрерывно неудачно логиниться в аккаунт?
"Мы хотели сделать удобно, а не для гиков"
Открыть приложение, ввести 6 цифр с нампада. Только гики так будут делать, конечно.
Короче очередная абсолютли проприетари хуетень
@bano я щас почитала статью, где они описывают мотивацию сделать кастом
господи, что за пиздец то
"Согласно калькулятору, 6 цифр TOTP можно сбрутфорсить за 3 дня!!"
Они там совсем угашенные были в 2015, что у них можно было просто так 3 дня непрерывно неудачно логиниться в аккаунт?
"Мы хотели сделать удобно, а не для гиков"
Открыть приложение, ввести 6 цифр с нампада. Только гики так будут делать, конечно.