вот тут https://habr.com/ru/post/501728/
"приложения используют Telegram-бота в качестве подтверждения входа в аккаунт"
а для чего так сложно?
вот к примеру для веб
можно проще - открылась страница на ней просто число 4-8 значное
вбиваешь это число в команда бота
(и если ранее передал этому боту свой номер и он был прописан на сервере)
открывается новая страница/страницы и только те которые разрешены тебе
всё просто

вообще как относитесь к такому методу входа?

смешно было кагда Захарова рекламировала телеграм канал МИДа, в то время когда РНК бился в истерике преркрывая вся и всех
так же можно начинать бояться когда мелкомягкие перекроют свои каналы
да и гугл днсы свои

а телегу как ни пытались - так и не получилось. чем не реклама за чужой счёт.

зато не надо ничего запоминать , никто не подсмотрит логин/пароль , и не надо платить за смс

ну так можно обо всем сказать и значит сидеть и ничего не делать? и просто на счетах считать - вдруг электрику отключат

предложи что-то другое
как минимум

Код: plaintext

зато не надо ничего запоминать , никто не подсмотрит логин/пароль , и не надо платить за смс 

могут украсть, еще больше вероятность что могут подсмотреть логин/пароль.
не факт,
но и ключи могут украсть, вместе с твоим брелком.

ну сам не войдёшь.
фишка в том что не надо помнить.
назови мне хоть что-то что не падало не разу?
даже когда есть вход по отпечатку пальца - есть возможность остаться без пальцев, что не сделаешь ради проникновения.

если надо войти в корпоративный портал из произвольного места - вводить логин/пароль на чужой машине намного опаснее, чем полученный код с экрана в свой телефон.

т.е. предлагаешь оставить все как есть .....

я сделал с тб ещё одну штуку - разрешение входа в корпоративную сеть с переданного боту ip
довольно удобно - клиент определяет свой ip любым сервисом, отправляет его боту , бот открывает данный ip , клиент подключается - работает
закончил работу - отправляет команду закрыть ip.

сравни затраты -токен и бот

это о чем? с каким девайсом? масло масленое?
тут как-то просили вариант защиты от просмотра введенного и отправленного логина/пароля от просмотра в отладчике браузера - решения не найдено
в отладчике все просматривается прекрасно, и код не в состоянии отследить открыт ли отладчик.
забыть пароль на клиенте не действует

ага на чужом , случайном компе
если ты садишься за чужой комп - кто тебе даст проверить что дебаг не запущен? и как ты сможешь объяснить стандартному юзеру что такое дебаг?
да, но насколько вероятно что из подсети с этим ip будет хацкер, да ещё и ориентированный на прослушивание
и кто мешает ограничить число подключений с адного ip?
а какой код надо знать?
бот открывает iptables для одного ip
уж как работает iptables - всем известно
можно много чего если ты программист, системщик
и многие ли могут дать подключить что-то к кому, да и многие ли дадут подключить свой телефон к чужому компу?
конечно можно написать "токен" но его надо устанавливать - это и яблоко и андроид, и его так же надо как-то защищать - головняков будет выше крыши.
ну тогда всё нужно закрывать
тут скорее дудосника закроют.
ну а имена бота можно сменить/иметь про запас для таких умников, да и светить не следует
ты путаешь области применения и уровни защиты
если быть честным - от терморектального взлома ещё нет защиты

основную/дополнительную - дело вкуса
в общем - я интересуюсь мнением общества
и так получается что на все "обвинения" я высказал "опровержения"

есть куча сервисов где вход осуществляется через соцсети - существуют , тут тоже "соцсеть"
почему столько критики? боязнь нового?

вот для примера захотел зайти на хабр
нажимаю ВОЙТИ
открывается окошко ВОЙТИ
выбираю с помощью Facebook
требует электронный адерс или номер телефона и пароль
смысл?