Двухфакторная аутентификация от Microsoft
Приветствую.
Поскольку новая Windows 10 от Microsoft очень любит использовать учетку этой самой Microsoft для входа в систему, решил посмотреть, как у них сейчас устроен двухфакторный вход.
С удивлением обнаружил, что они его слегка поменяли. Вместо стандартного rfc6238 алгоритма, что у них когда-то был, они настаивают на чем-то своем. (При небольшом желании можно вернуться и на старый способ, но сейчас речь не об этом).
Сейчас это работает так:
1) Говоришь на сайте 'хочу второй фактор'
2) Тебя отправляют скачивать приложение
3) И в этот момент в этом приложении нужно не как раньше, просканировать QR код, а залогиниться в нем с имененем Microsoft учетки и паролем. Сайт все это время терпеливо ждет.
4) После этого на этапе второго фактора тебя просят не ввести сгенерированный одноразовый пароль, а приложение показывает id попытки логина (он же показывается на форме входа) и спрашивает 'пустить?'. Впрочем, если связи нет, то одноразовый пароль оно тоже может.
Теперь вопрос – есть где-нибудь описание того, как это работает и стоит ли подобным пользоваться? Или все-таки стоит немного попрыгать и вернуться к старому rfc6238 аутентификатору?
комментариев: 511 документов: 2 редакций: 70
Вы про «есть ли где-нибудь описание того, стоит ли пользоваться проприетарными операционными системами с закрытым исходным кодом, по уши заполненными троянами с удалённым доступом для всех, кому ни лень?»?
... GNU/Linux. Разговоры о безопасности на винде не имеют смысла.
комментариев: 2 документов: 3 редакций: 2
Ну и поскольку результат получился ну очень удобным, есть вопрос о том, стоит ли реализовывать похожую схему где-нибудь у себя. И как? Не изобретать же протокол самому – явно очевидных и не очень дыр наделаешь.
комментариев: 1060 документов: 16 редакций: 32
Здесь никакой схемы не описано.
Нельзя ничего определённого сказать без понимания деталей. В данном случае вы можете только полагаться на репутацию производителя.
комментариев: 2 документов: 3 редакций: 2
Описана. Так, как она выглядит с точки зрения пользователя.
А вот как оно изнутри устроено – найти не смог. Все результаты гугления выводят на описание того, как оно раньше работало.
Потому на этом сайте и спросил.
комментариев: 1060 документов: 16 редакций: 32
А никто и не знает, похоже. Может, хорошо, может, не очень. Повторюсь, деталей никаких нет – ориентируйтесь на репутацию производителя.
комментариев: 511 документов: 2 редакций: 70
Относительно нормальная проприетарная схема аутентификации — вот эта. Она могла бы применяться более широко (не только для банков) там, где никакой анонимности всё равно нет.