данные пришлют бумажной почтой?

скорее всего так же, как и в первый раз, бумагой.

Не было в первый раз бумаги. Был просто QR-код на экране после ввода логина-пароля.

Так для создания аккаунта на их ресурсе ещё и данные от них почтой нужно получить?

У меня для АА стоит эпп Authenticator от Team2swift.

Ломит самому писать, вот попросил объяснить

Как работают приложения для двухфакторной аутентификации (2FA)

Приложения 2FA создают одноразовые коды, которые используются при входе в аккаунт для дополнительной защиты. Они работают по принципу TOTP (Time-Based One-Time Password), используя заранее установленный секретный ключ.

Процесс настройки двухфакторной аутентификации

1. Создание секретного ключа
   Когда пользователь включает 2FA для своего аккаунта, сервер аутентификации генерирует уникальный секретный ключ (например, 32-значный строковый код) и передает его пользователю в виде QR-кода или текстового кода.
2. Сохранение ключа в приложении
   Пользователь сканирует QR-код через приложение, и оно сохраняет ключ локально на устройстве. Секретный ключ никогда не передается в интернет, что исключает возможность его перехвата.

Как приложение генерирует одноразовые коды

1. Использование алгоритма HMAC-SHA1
   Каждые 30–60 секунд приложение берет секретный ключ и текущее время, пропускает их через алгоритм HMAC-SHA1 и получает 6-значный код.
2. Генерация нового кода
   Код автоматически обновляется через заданный интервал времени и действует лишь в течение короткого периода.
3. Сравнение с кодом на сервере
   При входе в систему сервер берет тот же секретный ключ и текущее время, генерирует свой код. Если код, введенный пользователем, совпадает с кодом сервера — доступ разрешается.

Выбор приложений:

https://sky.pro/wiki/gadgets/luchshie-prilozheniya-dlya-dv...

Возможно, в первый раз, у вас не создалась учётная запись и ключ не записался для конкретного сервера

Возможно, в первый раз, у вас не создалась учётная запись и ключ не записался для конкретного сервера

Скорее всего да. Ну так может вы ответите на вопрос: можно ли QR-код и секретный ключ (надеюсь, что пришлют оба, хотя пришлют ли бумажной почтой, тоже неясно) использовать на разных устройствах? Чтобы если возникнут, скажем, проблемы с телефоном, использовать приложение с компа?

"für Ihr Konto wurden Einmal-Zugangsdaten (Benutzername und Passwort) ausgegeben. Ihre bisherigen Zugangsdaten haben damit ihre Gültigkeit verloren. Sie können sich nur mit den neuen Einmal-Zugangsdaten an Ihrem Konto anmelden. Falls Ihr Konto gesperrt war, dann haben wir es mit dem Erzeugen der neuen Zugangsdaten wieder entsperrt."

Для вашей учетной записи были выданы одноразовые данные доступа (имя пользователя и пароль). Таким образом, ваши прежние данные доступа утратили свою силу. Вы можете войти в свой аккаунт только с новыми одноразовыми данными доступа. Если ваш аккаунт был заблокирован, мы снова разблокировали его, сгенерировав новые данные доступа".

Во-первых, тут маленькая неувязочка в самом объяснении (за которое всё равно спасибо!):

сервер аутентификации генерирует уникальный секретный ключ (например, 32-значный строковый код) и передает его пользователю в виде QR-кода или текстового кода.
Сохранение ключа в приложении
Пользователь сканирует QR-код через приложение, и оно сохраняет ключ локально на устройстве. Секретный ключ никогда не передается в интернет,

Во-вторых, что же сейчас должен делать ТС?

Doka66, "из текста неясно" = неясно из перевода. С немецким у большинства тут проблем нет. Есть конкретные вопросы на русском, не нужно забивать ветку другими сообщениями.

можно ли QR-код и секретный ключ

Абидно, объяснение плохое получилось - не поняли. попробую еще раз

Итак, есть сервер с важными данными и есть клиент с приложением вторичной авторизации.

Пользователь попадает на сервер с помощью логина, затем может/должен включить на сервере вторичную авторизацию.

Сервер генерирует код, который пользователь может считать исключительно визуально, лучше как QR код, чтобы не было ошибок. Клиент после получения кода и подтверждения пользователя! сохраняет его локально и должен отправить серверу подтверждение о регистрации, чтобы не было повторной регистрации. Также генерируется локальный код, который пользователь вводит на сервер. Первый шаг окончен.

При повторном логине нужно просто считать постоянно генерируемый код именно для данного сервера и немедленно ввести его на сервер.

Так что вам могут прислать только новый логин с отключенной двухфакторной авторизацией.

Ну так может вы ответите на вопрос

нет. . Согласно теории это должно быть затруднено. Но как сделано на самом деле неизвестно. Скорее всего что нет или да. Если делать так, как не рекомендуется, то вполне может получиться. Ну и особых стандартов безопасности не нашел. Так что вторую сессию вероятно тоже можно будет записать.

тут маленькая неувязочка в самом объяснении

Всё правильно - нет физической передачи, которую можно перехватить.

Можно только сделать локальный скриншот экрана, но для этого пользователь должен быть "под колпаком у Мюллера"

Пользователь видит код визуально, но код никуда не передаётся

Для удовлетворения паранойи можно включить уведомление о входе – многие сервисы отправляют уведомления при попытке входа с новым устройством.

Во-вторых, что же сейчас должен делать ТС?

Ждать логина и потом аккуратно проделать операцию по установке двухфакторной авторизации.

Всё правильно - нет физической передачи, которую можно перехватить

OK, спасибо, моя паранойя довольна

Сервер генерирует код, который пользователь может считать исключительно визуально, лучше как QR код, чтобы не было ошибок.

Не исключительно. Пришли бумажной почтой логин и пароль (два разных письма! для нескольких символов), повторил процедуру. Секретный код там можно скопировать, есть даже кнопка. Собственно настроил, как и в первый раз - просто теперь приложение от Гугла и надеюсь, глюков с последующей генерацией кодов не будет. Тем не менее кода сохранил отдельно на всякий случай.

Не исключительно

реализация всегда может отличаться от требований

Собственно настроил, как и в первый раз

ну можно только пожелать успехов

Собственно настроил, как и в первый раз

Ну, если все настроил, как и в первый раз, значит результат тоже будет таким же, как и в первый раз.

просто теперь приложение от Гугла

Можно подумать, что Google Authenticator, который использовался в первый раз, не от Гугла.

Можно подумать, что Google Authenticator, который использовался в первый раз, не от Гугла.

В первый раз было первое попавшееся приложение, я даже не помню, какое. Вначале оно сработало, после повторной попытки через сколько-то дней - нет. Я его снес, не понимая принцип, и поставил Google Authenticator. Понятно, что без данных по сайту Google Authenticator не мог сработать, код я ввел только сейчас.

В первый раз было первое попавшееся приложение, я даже не помню, какое.

Очень смешно.

Вы с самого начали писали про Google Authenticator, вам советы давали про Google Authenticator, вопросы потом вы задавали тоже про Google Authenticator, а, оказывается, он в процессе вообще не участвовал.

вам советы давали про Google Authenticator

Конкретно вы говорили про другое приложение. И дали нормальное объяснение, кстати. Так что удивительно слышать нечто вроде претензий - из ветки понятно, что я не понимал принцип и первое установленное приложение не помню и сейчас.

Конкретно вы говорили про другое приложение.

Так и пользовались бы этим приложением, если с ним все понятно, оно исправно работает, не глючит и не доставляет других проблем. Впрочем, похоже, что вы не ищете простых путей, поэтому хозяин - барин. В этот раз вы получили в своей теме нормальное объяснение, но не всегда вам здесь все будут раскладывать по полочкам.

Я нахожу, что ваши последние сообщения в теме - лишние. До них впечатление о вас было лучше. Я, кстати, на форуме гораздо дольше вас и в курсе его особенностей. Тем не менее спасибо за помощь.