"A TOTP kivezetésének okairól alkotott véleményed nettó spekuláció, a fősodratú iparági marketingtrendekre alapozva."
Tehát azt mondod, hogy a user/password/totp secret megosztása nem létező dolog? De, létező, és nagyon nem jogszerű és kifejezetten aggályos dolog - ezért _is_ kell mennie a levesbe.
"Csupán te nem voltál hajlandó megérteni, amit már többször leírtam előtte. Keress rá a jogosultság szóra a hozzászólásaimban. Egyébként ugyanarról beszéltünk, de ne zavarjon a krónikus ellentmondási kényszered megélése közben."
Te identitás átadásáról beszéltél, amit jelenleg jogsértő(!!!) módon az user/passwd/totp secret megadásával oldanak meg a fél bites userek, én meg arról, hogy ezt igen régen megoldották már azzal, hogy _jogosultságot_ lehet adni meghatalmazással másik személynek.
"Megint szétestél és nekiálltál feleslegesen kötekedni, szavakon lovagolni. A lényeg itt is az volt, hogy amennyiben az üzemeltető macik (felsőbb utasításra) nem teszik lehetővé, hogy Micike és Mancika a saját felhasználói fiókjukkal beléphessenek egy hálózati meghajtóra, de mindkettőjüknek szükségük van a belépésre a munkájukhoz, akkor meg fogják egymás között osztani azt, amivel be lehet lépni a hálózati meghajtóra. "
Az üzemeltetők azt csinálják, amit az adott szabályzatok lehetővé tesznek, amire megfelelő utasítást kapnak. Ha a két 3.14csa főnöke nem kér mindkettőjüknek jogosultságot, akkor a főnökük a hunyó első körben, második körben meg a két 3.04csa, akik nagyívben tojnak az előírásokra. Ha valamihez nincs joga, akkor nem a másik identitását kéri el, hanem a főnökének jelzi, hogy szüksége van adott jogosultságra a munkájához.
"Helyesen: A Play Store felhasználási feltételeit sérti az alkalmazás,"
Mely felhasználási feltételekben nem az szerepel, hogy alternatív YT kliens, hanem általában jogsértő módon működő alkalmazás nem kerülhet be. És bizony ezek az alternatív kliensek jellemzően nem teljes mértékben (finoman fogalmazva) követik a YouTube felhasználási feltételeit.
"Helyesen: Laboratóriumi körülmények között és koncepcionálisan igaz az, hogy a time/cert/deviceID based challenge-response biztonságosabb a TOTP-nél. "
Nem csak ott, te nagyonokos... A kulcs az védett tárolóban van, azt soha nem hagyta el (a DÁP telepítése során kellett volna ahhoz a megfelelő rendszerhívásokat eltéríteni...), innetől mutasd be, hogyan tudod észrevétlenül egy másik eszközzel megszemélyesíteni az adott DÁP jogos tulajdonosát.
A TOTP esetében usernév/jelszó és (ugyebár szerinted az android-on hemzsegnek a malware-ek, ergo biztos találsz olyat is, ami elviszi a TOTP alkalmazásokból a shared secret-et...) a secret ismeretében ez megtörténhet. Az user/pass/totp secret másolható, szabadon többszörözhető, és elég egyszer elvinni, utána az adott identitást n helyen lehet úgy használni, hogy de jura nem tagadhatja le az egyén, hogy ő volt - miközben semmit sem tudott az adott tevékenységről.
Ugyanezt hogy oldod meg a DÁP-pal, aminél az eszköz és az abban keletkezett, a tárolóelemből ki nem olvasható kulcsot használja a megoldás?
"Semmilyen nagy ugrást nem jelent maga a kivezetés. Jelent viszont újravásárlást, pazarlást, felesleges okostelefonkényszert."
De jelent: a másolható identitásoknak harangoztak. Ami a letagadhatatlanság és a jogszerű használat felé egy nagy lépés.
"Nem a TOTP-hez, mint technológiához ragaszkodom, ha esetleg félreértettél volna. Bármilyen megoldás megfelelő, amihez nem kell okostelefont vásárolni, sem újravásárolni. Lehet akár e-személyi, chipkártya, bármilyen szabványos eszköz, ami képes együttműködni más eszközökkel anélkül, hogy azokra proprietary szutykot kéne telepíteni vagy újra kéne vásárolni. Pl. YubiKey HID-nek emulálja magát és képes billentyűzetként gépelni."
Pedig nagyon úgy néz ki, hogy a védhetetlen (mert másolható) TOTP-t véded foggal-körömmel, hogy de az ugyanolyan jó, mint a DÁP. Hát messze nem olyan jó. Az e-személyi jó _lenne_ ha maradna, de nem marad sajnos - ahogy mondjuk a Yubikey Bio sem lesz opció, mivel az árban egy olcsóbb mobiltelefonnak vetekszik, miközben "csak" azonsításra szolgál, méghozzá úgy, hogy külön adminisztrációt igényel az állampolgárhoz rendelése, illetve elvesztés/meghibásodás esetén a cseréje/tiltása.