Что будет с аутентификацией и паролями? Перевод отчета Javelin «Состояние строгой аутентификации» с комментариями

[apapacy]

Парадокс заключается в том что используя двухфакторную аутентификацию для ресурса который для меня и ни для кого не имеет большой ценности я конкретно увеличиваю свои риски тк подтверждаю свое владение симкой. Привет телеге и google. Телегу я поэтому не юзаю и не планирую. От навязчивых рекомендаций google я пока мог отказывался. Даже один почтовый ящик у меня блокирован т.к. google обнаружил «подозрительную активность» — на самом деле я один раз случайно вошёл через vpn. Но как-то раз google меня что называется поймал с поличным. У меня по срокам нужно было быстро настроить firebase и в это момент мне вывели этот диалог с подтверждением симки и никакого выхода не было как отдать корпорации Добра свой номер телефона.

[mkirya]

вместо симки вы можете заюзать U2F-устройство, которое никак не повредит вашей анонимности. U2F-токен, как 2-й фактор гораздо лучше чем симка.

[apapacy]

Но у меня google требовал чисто конкретно телефон. Телегу как я понимаю тоже требует именно телефон

[mkirya]

про телегу не скажу, но именно гуглу точно можно скормить только u2f без телефона (раньше нельзя было, а теперь можно)

[Frankenstine]

Вот используете вы токен, такой весь надёжный. Но надеваете свитер и нечаянно убиваете токен статическим электричеством. И как вам теперь попасть, скажем, на ваш почтовый ящик?

[AI4]

Токен статическим электричеством так просто не убить. Но допустим, что он у вас упал под асфальтоукладочный каток и погиб смертью храбрых. Что делать?
Если почта рабочая, то пойти к администратору и он выдаст вам новый токен и выпишет новый сертификат.
Если почта типа Gmail, то воспользоваться механизмом восстановления и пересоздать ключи и сертификат заново на новом токене.
Задам встречный вопрос — а вот вы потеряли ключи. Означает ли это, что дверь нужно держать открытой как раз на такой случай?