Исходное сообщение
"GitHub вводит верификацию устройств, при неактивной двухфакт..." Отправлено хотел спросить, 04-Июл-19 01:05
>> а приложение которое ты ставишь и которое звенит на сервер намного лучше >> чем номер трубы? > На какой сервер? У меня приложение для TOTP собрано мной самим из > исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету, > ей просто нечем и некуда, в ней нет сим-карт, а паролей > к WiFi ей никто не давал. Давай сначала рассмотрим сценарий для непараноиков: We recommend using cloud-based TOTP apps such as:     1Password     Authy     LastPass Authenticator Дейтствительно.. клауд бейзед и не звенит. Процент параноиков будет мал, основная масса выберет 1 из этих пунктов или смс. Ну допустим ты параноик, давай разбираться твоим кейсом. Юзеру необходимо: 1) проверить код 2) сбилдить всё самому 3) подготовить изолированное устройство 4) таскать его везде с собой (второй телефон) 5) сохранить рекавери коды в надежном хранилище Как по мне так проще: 1) сгенерировать случайный пароль с энтропией 100+ бит (это 20+ символов a-z, A-Z, 0-9) каждый дополнительный символ добавит ~5 бит энтропии 2) сделать тоже самое как и в пункте 5 и так выходит пункт с надежным хранилищем никто не отменял, случайный ключ в 100 бит ты не трахнешь даже в оффлайне а вот гемороя меньше на порядок, но гитхаб нам это прям навязывает, и я прям чувствую руку мелкософта... сразу вспомнились Team Services где они хотел 2FA SMS