Например один из предков, mobileOTP, использует md5 хеш строки составленной из: текущего времени, секрета и 4-значного пин-кода. Особенность mobileOTP в том что пинкод в приложении не хранится — пользователь вводит его каждый раз.
сомнительная статистика. с такой логикой можно предположить что фишинговые письма с идеальным английским все поведутся не раздумывая… поверьте что на сайтах типа fivver можно найти нэйтива который за пару долларов все поправит
Прогресс не остановить!
А нет там случайно функции обхода двухфакторной аутентификации?
А как это поможет? Вы проверяли: функция восстановления пароля не позволяет менять второй фактор?
“ значение cookie должно быть unguessable“
Статья оригинальная или translated?
Хорошо бы к этому Cloudflare склонить. Через них четверть сайтов проксируется и они используют Nginx
Ну раз прибор уже есть, было бы здорово :
Не все, в Google accounts, например, можно активировать Fido ключ без указания телефона
Например один из предков, mobileOTP, использует md5 хеш строки составленной из: текущего времени, секрета и 4-значного пин-кода. Особенность mobileOTP в том что пинкод в приложении не хранится — пользователь вводит его каждый раз.
А случайно не знаете исследования проводились в этом направлении? То есть генерация случайных чисел которые легко запомнить.
Надо проверять, там же пишут вот это: “Note: Deleting your recovery phone number doesn’t delete it from being used for other Google services”
У О365 есть ДЦ в Ирландии — не устраивает тоже?
+ Green Hat
+ Red Hat
— Blue Hat
И помимо всего, Россия является самой большой европейской страной- https://en.m.wikipedia.org/wiki/List_of_European_countries_by_area
Если придираться, даже у нейтивов можно найти шероховатости