Best practices 2FA авторизации?
Публичный пост
12 октября 2020
526
А расскажите про лучшие практики при реализации двухфакторной авторизации? Можно ссылочками.
А то у нас на работе внедрили, но как-то криво: не TOTP, а какое-то приложение MobilePASS+, который не позволяет создавать токен более чем на одном устройстве, у поля ввода для токена тип password(чтобы никто не подсмотрел, видимо), сессии авторизации буквально по полчаса, и всякая такая фигня.
Я не специалист, но мне удобно так, как сделано у гугла. А как у нас — неудобно. Хочу рассказать почему, чтобы можно было поменять, но нужна доказательная база "смотрите, RFC говорит, что надо делать так, максимум так".
Достаточно неплохо реализовано у auth0.com из коробки.
Там из опций можно включать имейл, смс, коды и еще какие-то варианты (мб даже пуш-подтверждение как у гугла можно прикрутить). Настраивается за часик - всем рекомендую!
И ваши проблемы с авторизацией уйдут в прошлое. Тарифы для хобби-проектов с большим количеством активных пользователей могут кусаться, но это всё равно в десятки раз дешевле чем с нуля делать свой юзер-менеджмент и авторизацию in-house.
Из софтварных HOTP / TOTP, конечно же: