в случае с TOTP взламывать нечего, тк ничего не зашифровано - только перебор вариантов производной строки для генерации, но с этим успешно можно бороться, делая условия авторизации более жесткими (убрать +- сдвиг по времени, тайм-аут на неуспешные попытки, фильтр адресов и пр). Если же идет речь про сам алгоритм генерации токена - он не проприетарный, понятный и легко реализуем, что делает его легким для изучения в целях выявления недостатков, но пока что на горизонте тишина. Самый главный недостаток - если передача генератора токена происходит в виде данных через интернет, а не физический токен, получение и реверс-инжениринг которого требует гораздо больших ресурсов.
NIST как раз в августе выступил против смс паролей. в этот раз до наших быстро дошло-всего 2 мксяца
для банков
Для клиентов банков
А ТОТP никак нельзя взломать?
Только одному смартфону дается возможность генерировать код?
Что можете сказать про идентификацию по QR коду (реализовано у Яндекс)?
в случае с TOTP взламывать нечего, тк ничего не зашифровано - только перебор вариантов производной строки для генерации, но с этим успешно можно бороться, делая условия авторизации более жесткими (убрать +- сдвиг по времени, тайм-аут на неуспешные попытки, фильтр адресов и пр). Если же идет речь про сам алгоритм генерации токена - он не проприетарный, понятный и легко реализуем, что делает его легким для изучения в целях выявления недостатков, но пока что на горизонте тишина. Самый главный недостаток - если передача генератора токена происходит в виде данных через интернет, а не физический токен, получение и реверс-инжениринг которого требует гораздо больших ресурсов.
О! Дошло хоть до кого-то, наконец! Как бы теперь это до банков и прочих всяких ... донести?