Как удешевить авторизацию по максимуму, если в вашей системе миллионы пользователей: кейс компании UDS / Comments / Habr

А знаете что лучше и дешевле SMS? Email. А что ещё проще в реализации и маштабируется на 1кк пользователей? HOTP и TOTP. А что безопаснее всего? Хардварные токены.

А у вас тут оголтелая реклама.

Volodichev May 14 at 10:59

Товарищ @pyrk2142 поднял один важный вопрос.

Как осуществляется защита от MITM? Возможна ли она вообще?

pyrk2142 May 14 at 12:20

Тут даже вопрос не в MitM, тут ситуация сложнее, какой-нибудь Man in the сбоку. Фактически, используется некий сервис, который говорит, что вот этот номер телефона подтверждён, можно считать пользователя авторизованным. А вот где именно его авторизовывают, пользователь понять не может технически (так как ему никто об этом не говорит, и никакой информации о сервисе не даёт)

Условно, это если бы звонили из банка для подтверждения операции, но говорили:

— Вы подтверждаете операцию?

— А какую?

— Не скажу

— А где?

— Не скажу

— Ну ладно