Сообщать об этом гестаповцам из гитхаба совсем не обязательно, пусть подавятся.

А если утекла KeePass база, то это считай тоже самое что утек смартфон с TOTP приложением со всеми ключиками. И там же на телефоне у некоторых в заметках сами пароли) - это в миллион раз менее безопаснее, чем хранить пароли и TOTP в одной KeePass базе.

Вообще все эти GUI-шные приложения для TOTP расчитаны на менее опытных пользователей, опытные хранят TOTP только в хранилище паролей, им не удобно тыкать в экран и набирать циферки, KeePassXC сам их подставляет в нужное поле и набирает за тебя.

Не перестаёт в зависимости от вектора атаки, который пользователь пытается предотвратить:

1. Защита от утечек/слива базы паролей ресурса - единая база пароль+TOTP спасает, не вижу ничего плохого.
2. Защита от взлома самой базы KeePassXC - тогда да, это плохо. Тут всё зависит от размера мастер-пароля и наличия keyfiles.

Из любопытства: часто Вы используете раздельные базы и не храните их рядом на одном устройстве?

Чтобы совсем обезопасить разные базы (пароль базу и TOTP базу) - это должны быть два разных физических устройства.

- Как пользователю андроид и линукс, мне глубоко плевать, поддерживает ли софт, который я использую, другие оси. Я их в других осях использовать не собираюсь, поэтому это НЕ практическое преимущество.

О, если есть такое, то это большой плюсик.

Если вы считаете, что старые проблемы с кражей/утечкой записей логин/пароль не решает, то почему так считаете? Если используете OTP, то утечки данных учётной записи какбэ недостаточно для компрометации учётки.

Серьёзно настроенный атакующий приходит в дом и ломает колени атакуемому пока тот всё сам не отдаст. Братки из девяностых не дадут соврать, если на зоне не сгнили ещё. От остального помогает, если уметь пользоваться. А если не уметь, то и одноразовой ложкой можно голову нечаянно себе отрезать. Против дурака не существует защиты.

Это самый бесполезный вариант. Перехват смс поставлен на поток. Платишь биткоины уголовнику, на выходе получаешь стрим с смс жертвы. Хотел бы придумать систему хуже, да фантазии не хватает.

Прости анонимный кексперт, но ты опять жиденько с подливой
-------------------------------------------------------------------------------
Language                     files          blank        comment           code
Rust                           152           2176            496          14727
-------------------------------------------------------------------------------

> Они как бы говорят, что написать 100 строк без ошибок на плюсах,

Зачем? Это монструозный язык из прошлого столетия, который к тому же еще и дыряв.
Писать на нем безопасно не только крайне сложно, долго и дорого, но еще и все эти "базовые практики безопасного программирования" только иллюзия что там нет дыреней.

В мае тоже номер не требовался.

ну так проверь, кто тебе мешает

Если зарегаться еще сможешь, то email подтверждения с разных веб сайтов ты просто не откроешь (это письма со ссылками чтобы подтвердить, что email твой), там будет написано, что вы номер не добавили, поэтому мы вам не покажем письмо. Оправдывают они эту супер-пупер бреднями про безопасность.

Есть шанс, что они не запросят телефон, зависит он твоего цифрового отпечатка, чтобы тригернуть их глупую систему безопасности, можешь зайти в свой Протон аккаунт через какой-нибудь VPN и далее без ввода номера телефона ты больше не сможешь полноценно использовать этот акк, не важно под VPN ты будешь или нет.

Это RFC такой же нужный, как RFC про доставку IP-пакетов почтовыми голубями.