У pumpkin-а выше слова связаны в отличие от correct-horse-а по ссылке.

Та-а-чта, evil-pumpkin свою энтропию ополовинил.

--[DISCLMR] Нет, я не Форумный Криптограф-Учёный, 1/2 - прямо с потолка).

Ну есть важное и не очень. Нормальный почтовый клиент письма от разных сайтов может раскладывать по разным папкам и если в папке связанной с работой прилетело оповещение, то наверное заметишь.

Но так то да - фалс алармы они другая сторона палки.

Зачем на каждую попытку слать? При аномальном всплеске относительно общего количества хотя бы. В идеале — если также в неудачных паролях замечена какая-то общность.

>> взломщику пришлось бы дополнительно еще получать доступ к устройству администратора
> Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90%
> всего.

Даже для супер-пальца нужен будет доступ к устройству. В этом кейсе (и во многих других) у злоумышленника этого не было.

Ну, это уже вопрос реализации, best practices и пр. Благо, количество сайтов с умеренно чувствительными данными на порядки меньше, чем количество пользователей с такими данными, поэтому учесть на большинстве из них эти моменты — можно.

А восстановления первого фактора через SMS со вторым фактором в виде SMS — это, конечно, печаль, согласен. Мне здесь больше нравится вариант с locally generated tokens, в идеале — с доп. аутентификацией по PIN-у или отпечатку.

В школе про TOTP не рассказывали?

Кстати, спасибо за инфу.

А что мешает ваш долг увеличить? Опсосам абсолютно все равно знали вы про роуминг и платность звонков или нет, есть договор, есть сертифицированный биллинг, скажут что за смс 50 тысяч, значит 50, долги тоже аутсорс выбивает.