Можно не париться и менять местами аутенфикацию с авторизацией в большинстве случаев. Потому что любой запрос сначала делает аутенфикацию (кто вы) а потом можете ли вы это делать. В рус. языке лучше везде использовать слово авторизация, оно более знакомо нашему уху.
Кстати, двух факторной у вас нет. У вас двух шаговая (2 step verification). Пароль посланный через SMS не считается за второй фактор, тк SMS провайдер и много других персонажей имеют к нему доступ, а не только юзер.
Мой коммент не имел отношения к теме поста а просто уточнение. Одноразовые пароли не защищают от атак на пользователей использующих парольные менеджеры. В лучшем случае сокращают время эксплуатации.
Понятно что затрудняет. Вопрос насколько? На 5 процентов? Потому что всего то требуется выудить с помощью попапа еще один код и дальше делать что угодно. По сути security through obscurity
Я помоему четко сказал если человек уже использует парольный менеджер то ТОТП или СМС в большинстве случаев никак не помогают в модели атаки. Минусуют ламеры не умеющие думать своей головой. Более подробно писал тут sakurity.com/blog/2015/07/18/2fa.html
>Эта версия будет работать до тех пор, пока мы не убедимся, что подготовили все условия для комфортного переезда всех наших пользователей
Было бы совсем замечательно если бы вы так поступили с самого начала, а новую версию запустили на отдельном домене. Как собственно и поступают все остальные компании.
Это сделает брутофорс дольше, но для 4-6 цифр и для тысячи аккаунтов, вероятность что кого то взломает все равно остается высока. А полностью блокировать аккаунт не получится. Значит надо увеличивать длинну кода чтобы сделать брут на порядки сложнее и бесмысленней
Кто хочет делает, кто не хочет найдет отговорки. Надо давать эту статью всем кто ищет «курс как стать программистом» или другую волшебную таблетку. Берешь и изучаешь!
paul.reviews/the-difference-between-two-factor-and-two-step-authentication
«Одноразовость» ничего не меняет.
Кстати, двух факторной у вас нет. У вас двух шаговая (2 step verification). Пароль посланный через SMS не считается за второй фактор, тк SMS провайдер и много других персонажей имеют к нему доступ, а не только юзер.
Было бы совсем замечательно если бы вы так поступили с самого начала, а новую версию запустили на отдельном домене. Как собственно и поступают все остальные компании.