Почему SMS — это не второй фактор?
Потому что SMS приходит на тот же телефон, с которого вы логинитесь. Настоящая двухфакторка строится на принципе «что-то знаю и что-то имею». Пароль — это знаю, а телефон должен быть тем, что «имею». Но если я захожу в приложение с телефона и туда же получаю код, то никакого второго устройства в схеме нет. Я просто ввожу две вещи подряд на одном и том же экране. Это этапы, а не факторы. Что считается нормальным вторым фактором: TOTP-приложения — Яндекс.Ключ, Google Authenticator, Steam Guard. Код генерируется оффлайн, живет 30 секунд. Аппаратные токены — YubiKey, Рутокен и прочие. Биометрия. Всё, что физически отдельно от точки входа. #кибербезопасность #2FA #пароли #ИБ
Потому что SMS приходит на тот же телефон, с которого вы логинитесь. Настоящая двухфакторка строится на принципе «что-то знаю и что-то имею». Пароль — это знаю, а телефон должен быть тем, что «имею». Но если я захожу в приложение с телефона и туда же получаю код, то никакого второго устройства в схеме нет. Я просто ввожу две вещи подряд на одном и том же экране. Это этапы, а не факторы. Что считается нормальным вторым фактором: TOTP-приложения — Яндекс.Ключ, Google Authenticator, Steam Guard. Код генерируется оффлайн, живет 30 секунд. Аппаратные токены — YubiKey, Рутокен и прочие. Биометрия. Всё, что физически отдельно от точки входа. #кибербезопасность #2FA #пароли #ИБ