Всегда задавался вопросом, можно ли считать двухфакторной аутентификацией SMS-сообщение, которое приходит на то же устройство, с которого осуществляется вход в приложение? Как по мне, это скорее 1,5 фактора максимум ?
Сколько работал, всегда были споры, что лучше, push или SMS? Как по мне — push намного удобнее, хотя бы потому, что начиная с Android 5.0 можно создать несколько типов уведомлений, которые будут показывать разный текст в зависимости от блокировки устройства:
Общедоступное — Уведомления отображаются на заблокированных устройствах
Приватное — Уведомления отображаются на заблокированных устройствах, но если установлена защита (например, с помощью пароля или отпечатков пальцев), то отображается лишь общедоступная информация без заголовка и текста сообщения.
Секретное — Уведомления отображаются на заблокированных устройствах, но если установлена защита, то уведомления не отображаются.
используя эти особенности уведомлений, можно очень гибко настроить, когда и как будет отображаться информация. Плюс в Android с недавнего времени появился «защищенный» диалог подтверждения, который может гарантировать, что пользователь прочел и «подписал» сообщение.
Так же и в ElcomSoft есть целый ряд статей про сравнение различных реализаций двухфакторки у Apple и как её в целом можно обойти. Вывод, на мой взгляд, один — SMS один из самых ненадежных способов доставить OTP, но его по прежнему использует очень многие..
Надеюсь, что когда-то мы все-таки откажемся от SMS для одноразовых паролей или оставим их как запасной вариант ?
