Двухфакторная аутентификация от Microsoft
Приветствую.
Поскольку новая Windows 10 от Microsoft очень любит использовать учетку этой самой Microsoft для входа в систему, решил посмотреть, как у них сейчас устроен двухфакторный вход.
С удивлением обнаружил, что они его слегка поменяли. Вместо стандартного rfc6238 алгоритма, что у них когда-то был, они настаивают на чем-то своем. (При небольшом желании можно вернуться и на старый способ, но сейчас речь не об этом).
Сейчас это работает так:
1) Говоришь на сайте 'хочу второй фактор'
2) Тебя отправляют скачивать приложение
3) И в этот момент в этом приложении нужно не как раньше, просканировать QR код, а залогиниться в нем с имененем Microsoft учетки и паролем. Сайт все это время терпеливо ждет.
4) После этого на этапе второго фактора тебя просят не ввести сгенерированный одноразовый пароль, а приложение показывает id попытки логина (он же показывается на форме входа) и спрашивает 'пустить?'. Впрочем, если связи нет, то одноразовый пароль оно тоже может.
Теперь вопрос – есть где-нибудь описание того, как это работает и стоит ли подобным пользоваться? Или все-таки стоит немного попрыгать и вернуться к старому rfc6238 аутентификатору?
Ссылки
[link1] http://www.pgpru.com/comment87777
Вы про «есть ли где-нибудь описание того, стоит ли пользоваться проприетарными операционными системами с закрытым исходным кодом, по уши заполненными троянами с удалённым доступом для всех, кому ни лень?»?
... GNU/Linux. Разговоры о безопасности на винде не имеют смысла.
Разговоры имеют смысл. Речь идет о нормальных людях, а не о полных параноиках. У этих людей на машине ничего особенно ценного нет, но неприятностей, связанных с уводом учетки, им все-таки хочется избежать. Описанная схема – она насколько устойчива к праздношатающимся зловредам?
Ну и поскольку результат получился ну очень удобным, есть вопрос о том, стоит ли реализовывать похожую схему где-нибудь у себя. И как? Не изобретать же протокол самому – явно очевидных и не очень дыр наделаешь.
Здесь никакой схемы не описано.
Нельзя ничего определённого сказать без понимания деталей. В данном случае вы можете только полагаться на репутацию производителя.
Описана. Так, как она выглядит с точки зрения пользователя.
А вот как оно изнутри устроено – найти не смог. Все результаты гугления выводят на описание того, как оно раньше работало.
Потому на этом сайте и спросил.
А никто и не знает, похоже. Может, хорошо, может, не очень. Повторюсь, деталей никаких нет – ориентируйтесь на репутацию производителя.
Относительно нормальная проприетарная схема аутентификации — вот эта[link1]. Она могла бы применяться более широко (не только для банков) там, где никакой анонимности всё равно нет.