По JWT:
Я не куки-диссидент, но многие плюсы стандартного подхода к выпуску и управлению сессиями верны в большинстве своём только в вебе, когда есть клиент в виде браузера. А что делать в случае необходимости делегирования выпуска токенов или с2с взаимодействии, типо JWT имеет место быть. Да есть риски, но и в стандартном подходе их хоть отбавляй, в чем разница тогда? Или я не верно понял посыл?
По паролям:
Ты привёл в качестве примера отказа от паролей медиум, где ссылка приходит на имейл, но это же по сути просто переложение ответсвенности в борьбе за устойчивость к проблемам с паролями. И в такой ситуации мы должны оценивать доверие к сервису, например, в случае банковского приложения мы не можем себе такого позволить, доверять кому то.
И второй пример был с ОТП в смс, тут тоже есть нюансы. Они очень удобны да, но в основном для мобилы, а есть приложения, которые никогда не уйдут в мобилу из за своей специфики, тот же github или gitlab, более того как быть с 2фа, навешивать гугл актентификатор?
Но даже если это мобила, то как в случае локального пина обеспечить корректный его сброс, ведь по сути пин становится бесполезным, поскольку можно всегда его скинуть и зайти через ОТП из смс.
Я опять же не топлю за пароли, но как мне кажется, пока далеко не каждый сервис готов выкинуть пароль, либо выкинуть его и мириться с рисками кражи устройства/быстрого доступа к нему
Плюс надо ещё бороться с бесконтрольной отправкой ОТП на разные номера, тоже интересный вопрос как это сделать правильно?
Спасибо за вопросы, я очень ждал подобных!
По JWT: да, все так - я говорил именно про веб и браузеры как клиенты. Имхо, часто для с2с stateless (jwt) это ок, ведь там нет многих проблем - типа смены пароля и отзыва сессий и можно делать короткоживующие токены, плюс это дает работать некоторое время в оффлайне, например когда “моргает” сеть
По паролям: в банках пароль всегда останется, так как в банках всегда должна быть 2ф, а значит и мнемонический фактор для входа (пароль или пин, или доступ к устройству с секретным ключом). Финтех - это узкая сфера приложений, мой доклад был больше про типичные приложения, которых большинство. И для них нам действительно лучше полагаться на то, что большинство юзеров использует топ 3-5 популярных почтовых сервисов, которые уже собаку съели на брутфорсе паролей, cred stuffing и т.п., а создаваемыый сервис - нет (и это скорее всгео так и есть)
Про отп на мобилы - полный доступ к физическому устройству чаще всего gameover, можно и почту с него почитать.
