> для не-тыкать в usb-слот они предусмотрели работу по bluetooth/nfc

то есть совсем глючные и насквозь дырявые технологии, спасибо

Я спрашивал - а нормальных-то, что, нет?

> При потере - ну вот через сид и восстановишь.

спасибо, не надо. А то кто-то "восстановит" до потери.

Еще раз: нормальный токен должен теряться необратимо. Потому что именно владение им (а не удобно делаемой копией) подтверждает право доступа. Иначе это г-нецо, придуманное хипстамайнерами, а не безопасниками.

> Подделка симки - криминал, угу :-) насмешил.

статья имеется. Впрочем там еще целый ворох прицепных будет - поскольку ее нельзя подделать без нарушения целой пачки законов.
Соответственно, васяну это недоступно. Организованному криминалу в нашей стране - да, поэтому акаунт ненужно-гитхапа так защищать можно, а банковские операции - нельзя.

> Кража/отжим - это всегда кража/отжим

нет. Вы нечитатель УК. Для кражи должен быть умысел, смена владения, и должна быть материальная ценность. Цифирки материальной ценностью не являются. К тому же я уже отдал тебе листок.

> но если не отжал включённым - сам пин хрен подберёшь

зачем его подбирать если есть волшебная последовательность, позволяющая сделать еще десять таких же с любым пином?

> Насчёт "ходит эквивалент" - ходит, только зашифрованный открытым ключом сервера.

и? Ключ открытый - известен кому попало. А расшифровывать нам и не надо, у нас есть сид.

> Можно и как тебе нравится сделать - чтобы не восстанавливалось, и наверняка где-то такое есть.

чтобы гарантированно не восстанавливалось есть только один способ - выкинуть завязанную на волшебном числе криптографию в помойку.

Если токен и вынужден использовать какие-то волшебные числа больше одного раза - они никогда и ни при каких обстоятельствах не должны покидать шифрованной памяти, и, разумеется, быть разными для разных сайтов, чтобы даже в случае маловероятной утечки - не получать дубликат всех ключей от всех замков в руках любого васяна.

Это, батенька - азы. А ваше чудо - прожект горе-майнеров, которые больше всего боятся потерять свои платежные суррогаты насовсем. К безопасности не имеет никакого отношения вообще.

> и наверняка где-то такое есть.

ну вот у ныне покойного vtb24 - было. Тут все, вроде, честно (пока они следовали правилам visa, многие банки этого, как ни смешно, не делают). Почему аналогичная технология не сделана общедоступной - у меня только одно соображение: кое-кому категорически не хочется, чтобы это произошло. Поэтому изо всех сил форсятся хипстаподелки недоучек-майнеров, дырявые by design.