From: Sergey Matveev
Date: 2026-04-30 14:00:49Z
*** Egor Petrov [2026-04-30 16:19]:
>А в чём проблема? вторым фактором может быть и TOTP
Это моё дело как я хочу защищать свою учётную запись. Хороший пароль
(хранимый в БД, автосгенерированный, по-настоящему высокоэнтропийный,
используемый на доверенных компьютерах) не является чем-то небезопасным.
А когда меня заставляют использовать TOTP, то добавляют ничего не
улучшающий (в плане безопасности) геморой и почти заявляют что я баклан,
который не в состоянии сгенерировать и использовать безопасно пароль.
А ещё он (TOTP) обязывает применять более-менее точное время. Не то
чтобы это для меня проблема, но ещё одно накладываемое требование для
использования.
Компрометация моего диска (БД паролей, ключей, и т.д.) приведёт и к
компрометации TOTP ключей тоже. Использование внешнего TOTP добавляет
ещё и риск легко потерять доступ вовсе, ибо я понятия не имею когда и
как он сломается (это если считать, что пользователь не в состоянии
безопасно хранить у себя пароли/ключи/seed-ы).
В каких-нибудь Госуслугах второй факто я понимаю зачем: преобладающее
большинство людей действительно не понимают важность и серьёзность
пароля и делают их плохо. Но когда PyPI/GitHub/whatever считают своих
пользователей придурками неграмотными, то мне это не нравится отношение.
Это по идее платформы для людей имеющих какую-никакую но базовую
цифровую грамотность. Я понимаю, что по факту *сейчас* большинство
пользователей этих платформ -- точно такие же ничего не понимающие люди
как и не-ИТ специалисты. Но зачем специалистов то приравнивать к этой
массе? Должен быть выбор: хочу/не хочу использовать. Пускай по умолчанию
предлагать 2FA, но должна быть возможность отказаться от него, если он
ничего не добавляет по безопасности, кроме геморроя.
Почему не предлагают применять TLS клиентские сертификаты? Даже в IRC
многие серверы такое умеют. И удобно и безопасно и, как минимум раньше,
это умели многие web-обозреватели.