Каждый раз когда читаю новости про пасскеи приходится заново гуглить какие-нибудь видосы, которые объясняют всякие детали работы. Подход интересный и с большим количеством плюсов, но абсолютно непрозрачный для пользователя, гугл в своих объяснялках пишет "просто заходите везде по своему отпечатку/локскрину", но что там на фоне происходит, можно ли пасскей спиздить, можно ли его потерять, что происходит если теряешь телефон и тд — не объясняют. Не уверен, что это хороший подход.
Мне 2FA вспомнилась. 2FA строится на том, что она впервые настраивается именно легитимным пользователем. А то у моего работодателя корпоративная 2FA, например, реализована так, что кто первый отсканировал QR-код и настроил 2FA, тот и владеет вторым фактором. Ещё и намутили так, что QR-код для моего бывшего начальника отдела пересылали сначала мне, чтобы я мог его переслать в WhatsApp этому самому начальнику. Потому что он приходит на рабочую почту, вход в которую без 2FA уже отключили совсем, даже настройку этой самой 2FA. Реализация позорная. Ну у Google поприличнее будет, просто вспомнилось, до чего некоторые могут извратить 2FA.
Каждый раз когда читаю новости про пасскеи приходится заново гуглить какие-нибудь видосы, которые объясняют всякие детали работы. Подход интересный и с большим количеством плюсов, но абсолютно непрозрачный для пользователя, гугл в своих объяснялках пишет "просто заходите везде по своему отпечатку/локскрину", но что там на фоне происходит, можно ли пасскей спиздить, можно ли его потерять, что происходит если теряешь телефон и тд — не объясняют. Не уверен, что это хороший подход.
Мне 2FA вспомнилась. 2FA строится на том, что она впервые настраивается именно легитимным пользователем. А то у моего работодателя корпоративная 2FA, например, реализована так, что кто первый отсканировал QR-код и настроил 2FA, тот и владеет вторым фактором. Ещё и намутили так, что QR-код для моего бывшего начальника отдела пересылали сначала мне, чтобы я мог его переслать в WhatsApp этому самому начальнику. Потому что он приходит на рабочую почту, вход в которую без 2FA уже отключили совсем, даже настройку этой самой 2FA. Реализация позорная. Ну у Google поприличнее будет, просто вспомнилось, до чего некоторые могут извратить 2FA.
Потому что там куча достаточно сложных вещей "внутри", насчет "как это происходит" - ну можно с https://www.passkeys.io/technical-details начать.
Есть такое.
Как будто хотят упростить, но это идет через какое-то усложнение