konkretne jsem na gmailu zkousel, jak dlouho je takove heslo validni. Nechal sem si jedno vygenerovat, pak jeste 5 dalsich a to prvni bylo furt platne. 6 cisel dava 1M kombinaci. Kdyz je v jednu chvili 10 validnich, 100k kombinaci uz by se teoreticky dalo casem uhodnout.
Jenze, pokud si si vsiml, po X chybny zadanich k tomu musis prikladat uz i Catchpu - urcite by se to dalo resit indickou armadou, ale i tak musi byt prvne kompromitovano tvoje heslo ...
No ale token se pouziva prave pro pripad kompromitace hesla. Tudiz, otazka neni jak ochrani ucet "heslo s tokenem" ale pouze jak ucet ochrani "samotny token".
Taky mi neni uplne jasne, proc chteji nejdriv heslo a pak, az teprve po jeho overeni, chteji token. Meli by chtit vsechno naraz. Tedy, zeptat se na jemeno/heslo, a potom, bez ohledu na to, jestli heslo sedi, se zeptat na token.
A jako spravny hnidopich bych tu mel drobnou vyhradu k vypoctu kodu.
truncatedHash & 0x7FFFFFFF neni rozhodne delitelny 10^6, tudiz, nektere z generovanych kodu jsou vice pravdepodobne nez jine. Je to vada sice spise teoreticka, ale vada to je.
Take neni dobre si delat iluze nad nejakym zvysenym bezpecim v internetove kavarne. Keylogger vas sice neohrozi, ale gmail stejne pouziva cookie, kterou si drzi v sobe prohlizec. Ukrast tuhle cookie neni pro admina v takove kavarne zadny problem.
