Názor k článku
Seznam.cz zavádí dvoufaktorovou autentizaci pomocí OTP a ruší kontrolní otázky od Filip Jirsák - Jenže průměrný BFU správce hesel nepoužívá, používat neumí...

Jenže průměrný BFU správce hesel nepoužívá, používat neumí a hlavně nechce.
Proto se zavádí WebAuthn.

A zcela určitě si nechtějí přístup k těm službám dalším zabezpečením nebo používáním nějaké tajemné aplikace na hesla.
Problém bude v tom, že „IT odborníci“ často používají šílené aplikace, mají na ně požadavky jako že v žádném případě nesmí hesla synchronizovat přes cloud apod. A pak zkouší tyhle aplikace nutit ostatním. Rozumný správce hesel jako Bittwarden není žádná „tajemná aplikace na hesla“.

Dělají to nejméně bezpečné, co mohou: uloží si hesla v prohlížeči
Ono to není tak nebezpečné, největší problém je asi v tom, že se k těm heslům těžko dostává třeba v mobilu.

Jinak to, že jsou správce hesel v prohlížečích velmi odfláknuté, patří k největším problémům práce s hesly. A hezky to ilustruje, jak autoři prohlížečů pořád mluví o bezpečnosti, ale reálně kašlou na věci, které by znamenaly velký posun vpřed ohledně bezpečnosti. Navíc to prohlížeče ještě komplikují tím, že neumožňují pluginům napojit se na infrastrukturu prohlížeče pro práci s hesly na stránce – takže pluginy se musí do stránek pracně vlámávat.

Třeba do některých prohlížečů se generování bezpečných hesel přidalo letos nebo loni. Takovou funkci má mít správce hesel od začátku. Atd.

nebo napíší na papírek
To je paradoxně velmi bezpečný způsob uložení hesla – pokud ten papírek máte doma, kde se pohybují lidé, kterým důvěřujete. Problém je, že takové heslo pak musíte přepsat ručně – takže nejste chráněn proti phishingu. Navíc asi budete takové heslo používat na více místech. Kvůli ručnímu přepisování taky budete mít tendenci nedělat to heslo zbytečně dlouhé.

Ne, že by byl neinteligentní či hloupý - jen to nechce a půjde cestou, která se bez toho obejde.
Nechce to, protože IT lidé kolem něj mu to nedokážou dobře nastavit. Na používání správce hesel fakt není nic složitého – pro mne přihlášení s 2FA znamená stisknout Ctrl+Shift+L na přihlašovací stránce, Enter pro odeslání, Ctrl+V pro vložení druhého faktoru a znovu Enter. Zbrzdit to může akorát situace, kdy UX řešil nějaký osoba s deficitem inteligence a políčko pro druhý faktor nemá automaticky focus (což je mor, který je z nepochopitelného důvodu na mnoha stránkách – když je na celé webové stránce jediný input, který musí uživatel vyplnit, aby se dostal dál, je asi strašně těžké určit, co má mít focus…).