Просмотр поста

авторизация с одним ключом уязвима в самой своей сути. заимев несколько ключей можно прикинуть примерный диапазон, после чего тупо циклом подставляем варианты, это даже проще тупого брута, рано или поздно в бд найдется ключ совпавший с подставленным. система авторизации провалена.
далее конечно некие механизмы смогут (или нет?) засечь несоответствие клиента оригинала, и подставного, и сорвать прохождение в авторизированную зону, но это уже далее, на этапе идентификации просто чудовищно глупая логическая уязвимость.
в сравнение же с двухфакторной (любыми видами) совпасть должны минимум 2 ключа разом (те же ИД и ключ ака хеш пароля, или просто случайная строка записанная на обоих сторонах клиент-сервер), вероятность чего ниже на несколько порядков.
я в чем то не прав?