Про аутентификацию

Давайте посокрушаемся, насколько мир вообще хрупкий. На каждый основной сценарий всегда есть миллион эдж кейсов, которые или никто не тестил, или все закрывают на них глаза, или всё вместе. Иногда про них страшно даже думать. 🚬

Вот, например, аутентификация в интернете. Почти везде она или OAuth через какую-то корпорацию, или по номеру телефона. И вроде как нормальным людям удобно, но в обоих этих случаях твои яйца оказываются в сильно меньшем количестве корзин, чем хотелось бы.

Забанили в каком-нибудь гугле — потерял доступ в половину интернета. С номером телефона всё ещё хуже. Его операторы могут перепродавать, если ты им не пользовался достаточно долго (несколько месяцев). Если у тебя один номер, то ты рискуешь вообще всем сразу. Если у тебя несколько номеров, например в разных странах, то тебе как пользователю приходится выстраивать какой-то целый процесс, где ты поддерживаешь видимость жизни, заводишь несколько девайсов для разных симок, включаешь их периодически, тратишь денежки. А ещё ты можешь потерять телефон, но это уже совсем другая история.

Ещё забавнее, когда ты оказываешься с другой стороны — тем, кто купил "новый" номер телефона. А на него (внезапно) аккаунты во всём интернете зарегистрированы. И ты тоже страдаешь, и сделать ты тоже с этим ничего не можешь. Я мысленный эксперимент провалил, пытаясь придумать, что я делал бы в этой гипотетической ситуации. Причём чем дальше, тем это будет более вероятно.

2FA поверх всего этого ситуацию ещё сильнее усугубляет, так как у тебя по точке отказа на каждый фактор появляется. И понятно, что правильный 2FA это через TOTP или какие-нибудь passkeys с бэкапом в третьем месте, а не через телефон. Но это далеко не везде возможно, и сколько человек так делает?