Piotr Gałka <p...@c...pl> writes:

> Nie wiem co to 1FA, czy 2FA, ale nie rozumiem dlaczego klient nie może
> stosować tego samego hasła (moje założenie - hasło nigdy nie wychodzi
> poza komputer klienta).

To założenie wymaga odpowiedniego mechanizmu challenge - response.
Normalne strony WWW nie przewidują czegoś takiego - hasło musi im być
wysłane w całości (lub np. tylko niektóre znaki). Dopiero na serwerze
ew. liczone są jakieś tam skróty itp.

Teoretycznie dałoby się to robić po stronie klienta (np. w JS). Pewnie
nawet dałoby się to zrobić dobrze (tak, by nie użyć np. skrótu, który
pozwala na wielokrotne logowanie itp). Ale to w dalszym ciągu
pozostawałoby pod kontrolą strony WWW, wystarczyłaby modyfikacja kodu
strony.
--
Krzysztof Hałasa