<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 8, 2016 at 6:59 PM, Ryan Kelly <span dir="ltr"><<a href="mailto:rfkelly@mozilla.com" target="_blank">rfkelly@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Hi All,<br>
<br>
<br>
(This was a shower thought that I wanted to write down while it was in<br>
my head - comments welcome, but no action required.)<br>
<br>
In previous discussions of adding two-factor auth to FxA, we've<br>
struggled with the issue of backwards-compatibility for API consumers<br>
that don't know how to do 2FA.<br>
<br>
The standard solution here is to let the user generate one-time-use<br>
"application passwords" that can be entered into legacy systems.  For<br>
example, this is how you can login to gmail in thunderbird if you have<br>
2FA enabled:<br>
<br>
  <a href="https://support.google.com/accounts/answer/185833?hl=en" rel="noreferrer" target="_blank">https://support.google.com/accounts/answer/185833?hl=en</a><br>
<br>
Things aren't so simple for us, because the password in FxA does<br>
double-duty as a source of entropy for your encryption key.</blockquote><div><br></div><div>Is the idea to allow app PWs that allow access to kB?  I started questioning some parts of your method, and intended to urge you not to allow non-main-PW access to kB, before realizing this was your goal.  Am I correct?<br><br></div><div>Nick<br></div></div></div></div>