Один маленький tap для SMS OTP, но гигантский скачок для всего человечества

[AlexeyK77]

Первое что делаю, так это отключаю броузеру доступ к смс и контактам. Ибо нефиг, да и реально не нужно. Кому нужен красивый автокомплит с автозаполнением - пусть ставят приложение.

[petropavel]

Ну так по тексту вроде у браузера нет доступа к смс? Он просто подсказывает OS что в это поле нужен смс-код, и системная клавиатура предлагает подсказку. А браузер видит только то, что юзер вводит

[Revyashko]

с контактами тоже такой стратегии придерживаюсь, но по sms склонился в сторону удобства

[nerudo]

Первое что делаю - получаю sms туда, где нет браузера.

Блджад, как безопасность из 0-х, завязанная на отдельных электронных ключах и одноразовых кодах скатилась к пушам, которые приложения вставляют сами в себя?

[AlexeyK77]

потому что клиентам "неудобненько" и лидеры рынка так делали самые первые.
F*CK Security - классика "успеха", а риски и залеты перевесят на клиента все-равно. Так и живем.

[Mihaelc]

В IOS приложения не могут получить доступ к текстам SMS.

[k4ir05]

Так доступ получает системная клавиатура. И она уже вставляет код в приложение.

[Mihaelc]

Да, об этом и говорю.

отключаю броузеру доступ к смс

У браузера, как и у других приложений, нет доступа к смс. Есть только у системной клавиатуры.

[Noospheratu]

"скачек" скачок

[Revyashko]

благодарю!

[anzay911]

Что значит в один тап? Безопасники хотят, чтобы нажимали на виртуальной клавиатуре фронтенда со сменяющимся расположением клавиш.

[Revyashko]

с этими ребятами сложно ))) safety at first!

[Mnemonic0]

Очередной частный случай.

Давайте уже поймём, что есть PUSH и OTP уведомления, и отличаются они не тем, как вам кажется удобством, а тем в первую очередь, что при вводе циферок это делается осознанно. А вы по факту OTP превращаете в PUSH, что несколько другой уровень безопасности, поскольку можно словить MFA Bombing.

[Revyashko]

я за компромис - безопасность не маловажна, согласен. Но клиентский опыт ломать тоже та еще история

[Pasha_21]

Уважаемые автор статьи и сообщество:
вариант давать доступ браузеру к чтению SMS, что мы будем от этого иметь ?
1. в части "Удобства" - оно как-бы вырастет.
2. в части "Безопасности" - что мы получим:
- какие какие дополнительные риски ?
- как будем их парировать ?
По моему скромному мнению, улучшения в части "Удобства" почти всегда влекут ухудшения в части "Безопасности" , и эти 2 категории нельзя рассматривать в отрыве друг от друга.

[Pasha_21]

в дополнение к вышесказанному:
3. до сведения пользователя приложения крупным шрифтом должно быть предложено 2 варианта:
- Больше "Удобства" и меньше "Безопасности", или
- меньше "Удобства" и больше "Безопасности"
4. в случае SMS, если оно содержит длинный OTP-пароль,то перенабирать его вручную - не просто плохой вариант, а ещё хуже...
5. как черновой вариант решения мне видится - предоставление одноразового доступа к чтению одной (!) SMS с заранее заданными метаданными после ввода капчи.