shurshur, спасибо за совет!
А вообще, не в курсе предоставляет ли Google Email, через который авторизирован пользователь на Android, приложениям установленным на Android?
Может мои опасения напрасны.
rPman, спасибо за совет!
А вообще, не в курсе предоставляет ли Google Email, через который авторизирован пользователь на Android, приложениям установленным на Android?
Может мои опасения напрасны.
Да, читал я эту статью TOTP на википедии.
И в этой статье написано:
Прослушивая трафик клиента, злоумышленник может перехватить посланный логин и одноразовый пароль (или хеш от него).
Это про надёжность алгоритма.
Но суть не в надёжности алгоритма, в в том, что Google Authenticator (ну или аналог) предоставляет какую-то информацию сайту, чтобы пользователь мог пройти аутентификацию.
Каким-то же образом сайт и Authenticator синхронизирует код из 6 цифр и время действия этого кода. Т.е. какой-то обмен данными происходит.
Вопрос: есть ли между Authenticator и сайтом обмен данными, по которым сайт сможет определить, что у пользователя на сайте несколько учётных записей?
При условии, что все учётные записи одного пользователя проходят многофакторную аутентификацию через один и тот же Authenticator.
По поводу других Authenticator (Яндекс ключ, ms authenticator, authy) - да, можно... но:
1. Одним приложением проще пользоваться, чем несколькими.
2. Можно запутаться где какая учётная запись к какому именно Authenticator подключена. Это конечно решаемо методом проб: ага, код из этого Authenticator не подошёл, значит другой Authenticator.)
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
А вообще, не в курсе предоставляет ли Google Email, через который авторизирован пользователь на Android, приложениям установленным на Android?
Может мои опасения напрасны.