Best practices 2FA авторизации?

 Публичный пост

А расскажите про лучшие практики при реализации двухфакторной авторизации? Можно ссылочками.
А то у нас на работе внедрили, но как-то криво: не TOTP, а какое-то приложение MobilePASS+, который не позволяет создавать токен более чем на одном устройстве, у поля ввода для токена тип password(чтобы никто не подсмотрел, видимо), сессии авторизации буквально по полчаса, и всякая такая фигня.
Я не специалист, но мне удобно так, как сделано у гугла. А как у нас — неудобно. Хочу рассказать почему, чтобы можно было поменять, но нужна доказательная база "смотрите, RFC говорит, что надо делать так, максимум так".

3 комментария 👇
Artem Golovin Стартапер и консультант 12 октября 2020

Достаточно неплохо реализовано у auth0.com из коробки.

Там из опций можно включать имейл, смс, коды и еще какие-то варианты (мб даже пуш-подтверждение как у гугла можно прикрутить). Настраивается за часик - всем рекомендую!

И ваши проблемы с авторизацией уйдут в прошлое. Тарифы для хобби-проектов с большим количеством активных пользователей могут кусаться, но это всё равно в десятки раз дешевле чем с нуля делать свой юзер-менеджмент и авторизацию in-house.

  Развернуть 1 комментарий

@ArtemGolovin, Да не, там доступ к локальным ресурсам закрывается 2FA. Юзер-менеджмент уже есть, там плюс-минус ок.

  Развернуть 1 комментарий

Из софтварных HOTP / TOTP, конечно же:

  Развернуть 1 комментарий

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб