Здравствуйте, CaptainFlint, Вы писали:

M>>Ну, и так-то, я тут как раз не так давно немного разбирался со слетевшей 2FA на гитхабе, я так понимаю, там эти пароли генерятся на небольшое временное окно, три-четыре пароля на последние несколько 30 сек интервалов — скорее всего, это всё в оперативе лежит в каком-нибудь мем-кеше, и быстро удаляется. Так что даже завладев серваком и переставив там время, вряд ли что-то получится сделать

CF>Я имел в виду, переставить время, а после этого залогиниться, чтобы сервер запросил у клиента код. Для этого серверу надо будет сгенерить код по текущему (отстающему) времени, и злоумышленник сможет повторно послать код, перехваченный с клиента в прошлом, когда время было таким, как сейчас на сервере. И поскольку код получится одинаковым, сервер его примет.

Как я понял, это не так работает. Сервер не генерит код на какое-то время. Сервер генерит код на текущий момент, отдаёт его приложухе-автотентификатору, и кладёт его в короткую очередь на пару минут. Если от клиента приходит актуальный или один из пары-тройки только-что сгенерированных — всё норм, иначе — фик. Может, я не так всё понимаю, но время нигде никуда не передаётся, передаётся только код, который должен быть не более чем несколько минутной свежести