Двухфакторная аутентификация от Microsoft


Приветствую.

Поскольку новая Windows 10 от Microsoft очень любит использовать учетку этой самой Microsoft для входа в систему, решил посмотреть, как у них сейчас устроен двухфакторный вход.

С удивлением обнаружил, что они его слегка поменяли. Вместо стандартного rfc6238 алгоритма, что у них когда-то был, они настаивают на чем-то своем. (При небольшом желании можно вернуться и на старый способ, но сейчас речь не об этом).

Сейчас это работает так:
1) Говоришь на сайте 'хочу второй фактор'
2) Тебя отправляют скачивать приложение
3) И в этот момент в этом приложении нужно не как раньше, просканировать QR код, а залогиниться в нем с имененем Microsoft учетки и паролем. Сайт все это время терпеливо ждет.
4) После этого на этапе второго фактора тебя просят не ввести сгенерированный одноразовый пароль, а приложение показывает id попытки логина (он же показывается на форме входа) и спрашивает 'пустить?'. Впрочем, если связи нет, то одноразовый пароль оно тоже может.

Теперь вопрос – есть где-нибудь описание того, как это работает и стоит ли подобным пользоваться? Или все-таки стоит немного попрыгать и вернуться к старому rfc6238 аутентификатору?

Комментарии
— pgprubot (01/08/2015 00:14)   

Вы про «есть ли где-нибудь описание того, стоит ли пользоваться проприетарными операционными системами с закрытым исходным кодом, по уши заполненными троянами с удалённым доступом для всех, кому ни лень?»?


... GNU/Linux. Разговоры о безопасности на винде не имеют смысла.
— inkelyad (01/08/2015 00:48)   
Разговоры имеют смысл. Речь идет о нормальных людях, а не о полных параноиках. У этих людей на машине ничего особенно ценного нет, но неприятностей, связанных с уводом учетки, им все-таки хочется избежать. Описанная схема – она насколько устойчива к праздношатающимся зловредам?

Ну и поскольку результат получился ну очень удобным, есть вопрос о том, стоит ли реализовывать похожую схему где-нибудь у себя. И как? Не изобретать же протокол самому – явно очевидных и не очень дыр наделаешь.
— sentaus (01/08/2015 11:10)   
Описанная схема

Здесь никакой схемы не описано.

она насколько устойчива

Нельзя ничего определённого сказать без понимания деталей. В данном случае вы можете только полагаться на репутацию производителя.
— inkelyad (01/08/2015 12:46)   
Здесь никакой схемы не описано.

Описана. Так, как она выглядит с точки зрения пользователя.
А вот как оно изнутри устроено – найти не смог. Все результаты гугления выводят на описание того, как оно раньше работало.
Потому на этом сайте и спросил.
— sentaus (01/08/2015 12:55, исправлен 01/08/2015 12:58)   
А вот как оно изнутри устроено – найти не смог.

А никто и не знает, похоже. Может, хорошо, может, не очень. Повторюсь, деталей никаких нет – ориентируйтесь на репутацию производителя.

— pgprubot (02/08/2015 07:50)   

Относительно нормальная проприетарная схема аутентификации — вот эта[link1]. Она могла бы применяться более широко (не только для банков) там, где никакой анонимности всё равно нет.

Ссылки
[link1] http://www.pgpru.com/comment87777