# Re: Аутентификация поинтов через несекьюрное соединение
revoltech (spnet, 4) → shaos – 15:56:26 2024-10-29
shaos> Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?
Нельзя. Ну как минимум сервер должен такие попытки пресекать и заставлять пользователя ждать следующее 30-секундное окно. Это в случае TOTP.
Легитимный пользователь в пределах 30 секунд 2 сообщения не отправит. А если надо, пусть отправляет через /u/push.
revoltech (spnet, 4) → shaos – 15:56:26 2024-10-29
shaos> Кстати - если этот номер перехватить, то его ведь можно тут же зареюзать пока время не прощло?
Нельзя. Ну как минимум сервер должен такие попытки пресекать и заставлять пользователя ждать следующее 30-секундное окно. Это в случае TOTP.
Легитимный пользователь в пределах 30 секунд 2 сообщения не отправит. А если надо, пусть отправляет через /u/push.