Правильно, но советы, даваемые Google для владельцев веб-сайтов, которые хотят реализовать TOTP, что они должны обеспечивать возможность аутентификации пользователя, если они потеряли свое устройство 2fa.

Есть два способа сделать это: первый должен иметь пользователь записать код, который они могут войти, если они теряют свои устройства 2fa.

Другой способ, который является то, что предлагает Google заключается в следующем: попросите пользователя открыть веб-сайт в браузере & IP они использовали до этого, попросите их пароль, попросите их проверить свою электронную почту, попросите их реквизиты и о некоторой недавней деятельности, которую они сделали в своей учетной записи, для Bitcoin сайтов - попросить пользователь подписать от Bitcoin адресов известных им, а затем отправить пользователю по электронной почте и / или текстовое сообщение, говорящее им их 2fa будут сброшены в течение 7 дней, если они не нажать на ссылку, чтобы отменить запрос. Это близко к тому, что Google делает, если вам нужно сбросить 2fa на вашем аккаунте Gmail, например.

Безопасность TOTP 2fa завышена в любом случае. Это действительно только защищает вас от повторного использования пароля и дерьмовый пароль. Если ваш компьютер заражен, вредоносные программы могут просто угнать сеанс. Вы все еще можете получить подмененный тоже.

Лучше система 2fa бы один, который просит вас подтвердить любые действия, которые вы делаете на устройстве 2fa, то вы будете защищены от зараженного компьютера и фишинга.


Я действительно не рекомендовал бы, чтобы, как ваш провайдер может изменить диапазон IP в любое время. Также вы можете получить заблокированы, если вы забыли оплатить счет, или вдали от дома. Аутентификация IP слаба в любом случае, как хакер нужно только найти способ использовать любое устройство в сети для запросов прокси. Depdning о том, как сайт создан, в некоторых случаях это может быть сделано, вы посещаете веб-сайт с вредоносным JavaScript, который позволяет хакеру использовать браузер в качестве прокси-сервера, а у вас есть страница открыта.