В PyPI (https://pypi.org/), каталог пакетов для разработчиков на языке Python, добавлена (https://pythoninsider.blogspot.com/2019/05/use-two-factor-au...) поддержка двухфакторной аутентификации для защиты учётной записи на случай компрометации основного пароля. Возможность доступна для всех зарегистрированных пользователей каталога.Из методов двухфакторной аутентификации пока поддерживаются (https://pypi.org/help/#totp) только ограниченные по времени действия одноразовые пароли (TOTP (http://www.ietf.org/rfc/rfc6238.txt)), генерируемые при помощи специального мобильного приложения. Для генерации одноразовых паролей могут применяться приложения FreeOTP (https://freeotp.github.io/), FreeOTP+ (https://play.google.com/store/apps/details?id=org.liberty.an...), Google Authenticator (https://play.google.com/store/apps/details?id=com.google.and...), Authy (https://authy.com/) и
Duo Mobile (https://play.google.com/store/apps/details?id=com.duosecurit...). В дальнейшем планируется реализовать поддержку ключей Yubikeys в качестве второго фактора проверки.URL: https://pythoninsider.blogspot.com/2019/05/use-two-factor-au...
Новость: https://www.opennet.me/opennews/art.shtml?num=50783
А СМС с кодом в качестве второго фактора проверки в PyPI не внедрили еще? Я думаю, что и проверка паспортных данных при регистрации на каталоге также пригодилась бы несомненно.
Бред. Многие хорошие программисты желают остаться анонимными. Яркий пример - Сатоши Накомото.
поэтому они радостно поставят на гуглезонд еще и зонд пиписек.малаццы, ананимы-ананимы. "Мало что известно о snowman-zombie, кроме, конечно, имени, фамилии, родословной, домашнего адреса, ssn number и любимого блюда (чизбургер, если вам тоже интересно)" (c)
AndOTP, FreeOTP+ – в чём зондовость? Можно хоть http://motp.sourceforge.net/ использовать (ещё пару лет назад я пользовался).
ну ты исходники-то уже проверил хоть одного из (я, если что, голосую за motp)?А то вон у мазилы "менеджер паролей" - и тот сливает телеметрию.
Причём тут смс с кодом, паспортные данные и алгоритм 2FA никак не зависящий от устройства ?
Во-первых, зависящий, ибо аттестация.
Во-вторых, PSF вполне в тренде - им нужно факсом прислать паспорт. Иначе никакие правки в сам питон и его стандартную библиотеку не принимаются.
Уныние. Тут все про WebAuthn говорят, а они опять TOTP сделали. Но все равно лучше чем ничего.
WebAuthn - анальный зонд. Спецификация с бекдором. Бекдор заключается в том, что ты обязан купить устройство аутентификации у одной из фирм, их производящих. А иначе будешь послан - там проверка как при удаленной аттестации TEE. Не прошло устройство аттестацию - такой пользователь адекватному сайту нежелателен, ишь чего удумал - не покупать у корпораций потенциально забекдоренные устройства и не увеличивать количество досиупной информации (стандарт приписывает, что каждая группа из 10000 устройств должна быть различима, в интернете 3e9 пользователей, пусть у трети из них есть токены -> 1e9/1e4=1e5 идентификаторов, 17 бит информации, 17 Карл!). Такому нищeбрoду всякую рекламируемую дрянь впарить нельзя, пакет дополнительных ненужных услуг он тоже не купит, а рекламу вообще заблокирует.
Строго говоря, TOTP это не двухфакторная аутентификация, а двухшаговая.