> для не-тыкать в usb-слот они предусмотрели работу по bluetooth/nfcто есть совсем глючные и насквозь дырявые технологии, спасибо
Я спрашивал - а нормальных-то, что, нет?
> При потере - ну вот через сид и восстановишь.
спасибо, не надо. А то кто-то "восстановит" до потери.
Еще раз: нормальный токен должен теряться необратимо. Потому что именно владение им (а не удобно делаемой копией) подтверждает право доступа. Иначе это г-нецо, придуманное хипстамайнерами, а не безопасниками.
> Подделка симки - криминал, угу :-) насмешил.
статья имеется. Впрочем там еще целый ворох прицепных будет - поскольку ее нельзя подделать без нарушения целой пачки законов.
Соответственно, васяну это недоступно. Организованному криминалу в нашей стране - да, поэтому акаунт ненужно-гитхапа так защищать можно, а банковские операции - нельзя.
> Кража/отжим - это всегда кража/отжим
нет. Вы нечитатель УК. Для кражи должен быть умысел, смена владения, и должна быть материальная ценность. Цифирки материальной ценностью не являются. К тому же я уже отдал тебе листок.
> но если не отжал включённым - сам пин хрен подберёшь
зачем его подбирать если есть волшебная последовательность, позволяющая сделать еще десять таких же с любым пином?
> Насчёт "ходит эквивалент" - ходит, только зашифрованный открытым ключом сервера.
и? Ключ открытый - известен кому попало. А расшифровывать нам и не надо, у нас есть сид.
> Можно и как тебе нравится сделать - чтобы не восстанавливалось, и наверняка где-то такое есть.
чтобы гарантированно не восстанавливалось есть только один способ - выкинуть завязанную на волшебном числе криптографию в помойку.
Если токен и вынужден использовать какие-то волшебные числа больше одного раза - они никогда и ни при каких обстоятельствах не должны покидать шифрованной памяти, и, разумеется, быть разными для разных сайтов, чтобы даже в случае маловероятной утечки - не получать дубликат всех ключей от всех замков в руках любого васяна.
Это, батенька - азы. А ваше чудо - прожект горе-майнеров, которые больше всего боятся потерять свои платежные суррогаты насовсем. К безопасности не имеет никакого отношения вообще.
> и наверняка где-то такое есть.
ну вот у ныне покойного vtb24 - было. Тут все, вроде, честно (пока они следовали правилам visa, многие банки этого, как ни смешно, не делают). Почему аналогичная технология не сделана общедоступной - у меня только одно соображение: кое-кому категорически не хочется, чтобы это произошло. Поэтому изо всех сил форсятся хипстаподелки недоучек-майнеров, дырявые by design.