The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"GitHub запрещает парольную аутентификацию при доступе к Git "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от opennews (??), 13-Авг-21, 08:19 
В соответсвтии с ранее намеченным планом GitHub прекратит поддержку подключения к Git-объектам с использованием парольной аутентификации. Изменение будет применено сегодня в 19 часов (MSK), после чего прямое выполнение операций с Git, требующих аутентификации, станет возможным только при использовании SSH-ключей или токенов (персональные токены GitHub или OAuth). Исключение предоставлено только учётным записям, использующим двухфакторную аутентификацию, которые подключаются к Git по паролю и дополнительному ключу...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55632

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (1), 13-Авг-21, 08:19 
надеюсь что они в курсе что такое path of least resistance.
Ответить | Правка | Наверх | Cообщить модератору

7. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от хацкер (??), 13-Авг-21, 08:37 
?
Ответить | Правка | Наверх | Cообщить модератору

30. "GitHub запрещает парольную аутентификацию при доступе к Git "  +8 +/
Сообщение от пох. (?), 13-Авг-21, 10:30 
разумеется, в курсе. Никаких тебе паролей, которые могут и чаще всего и оказываются только в голове владельца, а при подборе быстро заблокируется доступ.
Вот тебе ключик к shitsh, ты даже не заметишь, когда он стал достоянием масс.
И даже если у него был пароль - подбирать его можно локально, во всю мощь сетей nsa (ну или зомбонета - кому достался)

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

48. "GitHub запрещает парольную аутентификацию при доступе к Git "  –3 +/
Сообщение от oralcumsshot (?), 13-Авг-21, 11:58 
> Given that 93 PetaFLOPS (supercomputer) is nearly 1 million times 100 GigaFLOPS (desktop PC), let’s we assume that this supercomputer can crack AES encryption 1 million times faster than a high-end PC. Therefore, on average to crack AES-256, it would take 27,337,893,038,​406,611,194,​430,009,974,​922,940,323,​611,067,429,​756,962,487 years.

Ну да, nsa ведь куда сложнее просто спросить твой пароль у гитхаба, благо он не принадлежит спонсируемой правительство американской корпорации 🤡

Ответить | Правка | Наверх | Cообщить модератору

54. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от пох. (?), 13-Авг-21, 12:16 
д-лы, б-ть...

У гитхаба нет твоего пароля. А у NSA нет возможности заставить "спонсируемую правительством" (опять  бредни впопеннетчиков, рулоны без счета - кто еще кого спонсирует-то) американскую корпорацию делать что-то незаконное. Все приходится самим, тырить, подбирать, искать уязвимости. А тут такой подарочек.

Ответить | Правка | Наверх | Cообщить модератору

101. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от PetrG (ok), 13-Авг-21, 16:23 
Про пароль-да. И пароль конечно же не нужен если можно прямо ваши данные посмотреть. А остальное не так.
Товарищу майору^^W^WАгенту Смиту тоже хочется делать свою работу с удоствами. Незаконное он конечно не сможет заставить их сделать, зато может незаконное сделать законным. Погуглите Five Eyes, например.
Года 4 назад в США приняли закон по которому американские компании обязаны предоставлять данные по запросу кого-следует даже если это данные иностранных граждан за границей. Присыпается это сверху gag order-ами, разумеется (тоже прописано в законе насколько я понимаю). Github пытался хотя-бы опубликовать просто сколько таких запросов было за год - даже это им не разрешили.
В Австралии приняли зкон, по которому кто-следует может напрямую потребовать от какого-нибудь сотрудника поставить back-door и запретить ему сообщать это даже своему менеджеру. Не уверен что это работает на практике - тем не менее это теперь законно.
Ответить | Правка | Наверх | Cообщить модератору

102. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от пох. (?), 13-Авг-21, 16:28 
чтоб посмотреть большинство реп на шитхабе, пароль не нужен. Но и nsa они нафиг не нужны.
А вот если не посмотреть, то все становится интереснее.

> по которому американские компании обязаны предоставлять данные по запросу кого-следует даже если
> это данные иностранных граждан за границей.

Потому что _чужих_ граждан от _своих_ спецслужб только дураки защищать будут.
Со своими все сложнее. Использовать инфу прослушки помощника Трампа удалось только потому, что тот болтал языком не с кем-то, а с россиянином. Который опять же не гражданин и его слушать можно.

Ответить | Правка | Наверх | Cообщить модератору

211. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от PetrG (ok), 25-Авг-21, 18:45 
> чтоб посмотреть большинство реп на шитхабе, пароль не нужен. Но и nsa
> они нафиг не нужны.
> А вот если не посмотреть, то все становится интереснее.

Было сказано, что заставить GitHub делать незаконные вещи не получится. Я показал что и законных вещей достаточно чтобы порыться в ваших данных.
Ваш пароль на самом деле никого не *бёт, а вот узнать кто Вы, откуда, что и когда делали на сайте, и кто ваши друзья/знакомые - это может быть. И приватный код может быть интересен, если это компания о которой хочется узнать побольше, скажем так. Может там уязвимости/ключи/данные можно нарыть.

>> по которому американские компании обязаны предоставлять данные по запросу кого-следует даже если
>> это данные иностранных граждан за границей.
> Потому что _чужих_ граждан от _своих_ спецслужб только дураки защищать будут.
> Со своими все сложнее. Использовать инфу прослушки помощника Трампа удалось только потому,
> что тот болтал языком не с кем-то, а с россиянином. Который
> опять же не гражданин и его слушать можно.

"Только дурак не будет воровать если захочется" из той же серии. Но люди обычно не воруют не потому что дураки а потому что это упрощает жизнь в чём то другом. Например не получать п*зды если обнаружится и иметь хорошие отношения с соседями. Понятно что если есть возможность то спецслужбы захотят получить эти данные, с другой стороны есть общепринятые договорённости которые при этом нарушаются.

Ответить | Правка | Наверх | Cообщить модератору

108. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Урри (ok), 13-Авг-21, 16:46 
Сказочки мамкиных анархистов.
Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

210. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от PetrG (ok), 25-Авг-21, 18:18 
> Сказочки мамкиных анархистов.

Это о чём?

Ответить | Правка | Наверх | Cообщить модератору

130. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от kissmyass (?), 13-Авг-21, 17:33 
насколько я понял выдержки из их законов, то не только в Австралии, уполномоченные госслужащие могут потребовать так сделать любого гражданина Австралии, находящегося где угодно, т.е. формально, если ты работаешь в гугле и тебя заставляют встроить бекдор, то по закону Австралии ты молодец, а по закону США турма ))
Ответить | Правка | К родителю #101 | Наверх | Cообщить модератору

188. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от n00by (ok), 14-Авг-21, 16:15 
> т.е. формально, если ты работаешь в гугле и
> тебя заставляют встроить бекдор, то по закону Австралии ты молодец, а
> по закону США турма ))

И милорды тихонько ржут над аборигенами в сторонке.

Ответить | Правка | Наверх | Cообщить модератору

168. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от СеменСеменыч777 (?), 14-Авг-21, 12:31 
> Все приходится самим, тырить, подбирать, искать уязвимости

... коррумпировать персонал, чтобы создавали уязвимости под заказ.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

56. "GitHub запрещает парольную аутентификацию при доступе к Git "  –2 +/
Сообщение от Аноним (56), 13-Авг-21, 12:56 
Я может что-то не понимю, но вряд ли нужно столько много лет чтобы подобрать мой 6-символьный пароль к SSH ключу.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

64. "GitHub запрещает парольную аутентификацию при доступе к Git "  –3 +/
Сообщение от пох. (?), 13-Авг-21, 13:20 
я ж говорю - они д-лы.
Пусть он даже двадцатисимвольный будет - он же будет простой? Его ж по сто раз вводить придется.
Ну и это у кого вообще будет, а не все ключи без паролей вовсе в автоматической системе.

А то и вовсе один ключ от всего. Простые рецепты вон уже советчики насоветовали, для альтернативно-одаренных разработчиков, которые и этого сами не могут.

"с правами rw", блжад...

Ответить | Правка | Наверх | Cообщить модератору

69. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Аноним (69), 13-Авг-21, 13:55 
Согласен!

Безопасное хранение приватного ключа и безопасная работа с приватными ключами намного сложнее и обойдется намного дороже чем просто пароль. Разрабы СПО не будут тратить на нее деньги.

Хотя в случае двухфакторной пароль отдельно + ключ запароленый другим паролем - безопасность системы чуть-чуть повысится.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

95. "GitHub запрещает парольную аутентификацию при доступе к Git "  –4 +/
Сообщение от пох. (?), 13-Авг-21, 15:23 
> Разрабы СПО не будут тратить на нее деньги.

Мозги, Ева, мозги! Которых "разрабы" (что спо что коммерческого софта в закрытой репке на шитхапе) тратить не будут, потому что Б-г им их и не дал. Все достались Адаму (а то он тут нам все зассыт).

Поэтому ключи без паролей закомитят прямо в то же репо. Так удобно, и не потеряются!

> Хотя в случае двухфакторной пароль отдельно + ключ запароленый другим паролем - безопасность
> системы чуть-чуть повысится.

да, ты на третий день самовыпилишься, от такой херни, и безопастность повысетцо - никто уже никогда туда не зайдет.

Ответить | Правка | Наверх | Cообщить модератору

110. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Урри (ok), 13-Авг-21, 16:47 
Снова таблеточки свои забыл выпить?
Ответить | Правка | Наверх | Cообщить модератору

156. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 14-Авг-21, 00:37 
> Поэтому ключи без паролей закомитят прямо в то же репо. Так удобно, и не потеряются!

Ну или пароли без ключей. Только это опаснее, потому что с ключом можно поиметь только репозитории, а с паролями - аккаунты целиком.

Ответить | Правка | К родителю #95 | Наверх | Cообщить модератору

143. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (143), 13-Авг-21, 20:29 
> Безопасное хранение приватного ключа и безопасная работа с приватными ключами намного сложнее и обойдется намного дороже чем просто пароль. Разрабы СПО не будут тратить на нее деньги.

Это еще почему и какие деньги им надо будет потратить?

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

207. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (207), 16-Авг-21, 14:00 
Начни с подсчета своих затрат:

1. Иследуй свой дистр GNU/Linux

cat /etc/*release*
cat /proc/sys/kernel/yama/ptrace_scope

2. Ознакомься хотя бы поверхностно с ситуацией по защите приватных ключей в памяти GNU/Linux https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...

3. Купить аппаратную защиту приватных ключей: https://www.nitrokey.com и сейф для их хранения.

Для защиты приватных ключей надо будет потратить и время и деньги.

Ответить | Правка | Наверх | Cообщить модератору

140. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от None (??), 13-Авг-21, 19:51 
Угадайте, сколько процентов разработчиков положат ключ рядом с исходниками и закоммитят его в репу :)
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

145. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (143), 13-Авг-21, 20:30 
Какой из: публичный или приватный?
Ответить | Правка | Наверх | Cообщить модератору

155. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (156), 14-Авг-21, 00:34 
И сколько? Я думаю, немного. А ключ в какую репу заливать надо, если у меня их несколько? А если у меня вообще нет своих реп, а другие люди мне доступ к своим дали? Ключ - метод аутентификации не для репозитория, а для аккаунта.
Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

208. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (207), 16-Авг-21, 14:08 
Много процентов. Для обучения работы с ключами тоже некое время надо.

Есть YARA правила которые ищут приватные ключи (на диске, в трафике) пусть M$ сделает хоть одно доброе дело: регулярно сканит репы, трафик на гатхабе и при обнаружении приватных ключей шлет их владельцам предупреждение и инструкцию по работе с ключами.

Ответить | Правка | К родителю #140 | Наверх | Cообщить модератору

2. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (2), 13-Авг-21, 08:21 
Какое время - такие нравы!
Ответить | Правка | Наверх | Cообщить модератору

8. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от хацкер (??), 13-Авг-21, 08:37 
??
Ответить | Правка | Наверх | Cообщить модератору

12. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от Аноним (2), 13-Авг-21, 08:45 
Мода на "безопасность" тренд нынешного времени.
Ответить | Правка | Наверх | Cообщить модератору

26. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Enamel (ok), 13-Авг-21, 10:22 
Безопасность - это хорошо, правильный тренд
Ответить | Правка | Наверх | Cообщить модератору

40. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от нах.. (?), 13-Авг-21, 11:26 
Поговаривают что нужно на каждого надеть кляп и поводок... конечно ради безопасносте, вы уже записались?
Ответить | Правка | Наверх | Cообщить модератору

66. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (69), 13-Авг-21, 13:45 
И вакцинировать!
Ответить | Правка | Наверх | Cообщить модератору

92. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Заноним (?), 13-Авг-21, 14:59 
И бетризовать
Ответить | Правка | Наверх | Cообщить модератору

46. "GitHub запрещает парольную аутентификацию при доступе к Git "  –2 +/
Сообщение от Жироватт (ok), 13-Авг-21, 11:49 
Безопасность не равно "Безопасность"
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

131. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от kissmyass (?), 13-Авг-21, 17:39 
только это не безопасность

"позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, на которых пользователи использовали одни и тех же пароли с GitHub"

таким долбаебам не нужно пользоваться гитхабом, и писать код в принципе

так что это очередной гoвнокреатив от майкрософта

а собственную капчу на nuget.org до сих пор не починили, пришлось live аккаунт через хотмейл создавать

сегодня словил косяк с подменой nupkg из приватного репозитория, а они все proposal на неймспейсы обсуждают, и думают как бы сделать так чтобы Monodevelop не было под виндой

--

и кстати токены это такая же шляпа что и пароль, только создается не тобой, поэтому перешел безболезненно, что так рандомный набор символов, что так

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

136. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Аноним (136), 13-Авг-21, 18:14 
> токены это такая же шляпа что и пароль, только создается не тобой

Согласен. Нечего пользователям использовать контролируемые ими пароли, а то понапридумают "предсказуемых" паролей. Надо, чтобы пароли были "непредсказуемые" пользователем.

Ответить | Правка | Наверх | Cообщить модератору

9. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (9), 13-Авг-21, 08:42 
Так ведь обычный git clone по HTTPS не убрали
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

11. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (2), 13-Авг-21, 08:44 
А git push?
Ответить | Правка | Наверх | Cообщить модератору

22. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (143), 13-Авг-21, 09:09 
А вот git push уже по HTTPS и не сработает
Ответить | Правка | Наверх | Cообщить модератору

38. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (156), 13-Авг-21, 11:08 
... без токена
Ответить | Правка | Наверх | Cообщить модератору

44. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 13-Авг-21, 11:40 
Да и git clone по HTTPS не сработает без токена, если репозиторий приватный
Ответить | Правка | Наверх | Cообщить модератору

3. "GitHub запрещает парольную аутентификацию при доступе к Git "  +6 +/
Сообщение от Хан (?), 13-Авг-21, 08:21 
Короче каждому по 5G-симкарте в шоколадный глаз
Ответить | Правка | Наверх | Cообщить модератору

4. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от Имя (?), 13-Авг-21, 08:22 
Напишите простенькую инструкцию по шагам, как перейти на новую систему пожалуйста: сколько не читал инструкцию на гитхабе - так и не въехал чего делать то. ;)
Ответить | Правка | Наверх | Cообщить модератору

13. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от Аноним (143), 13-Авг-21, 08:58 
1) генеришь SSH-ключ
2) заходишь в настройки гитхаба, находишь там SSH keys, заливаешь туда публичный ключ (содержимое файла, который лежит в ~/.ssh/id_*.pub). Главное не залить приватный ключ вместо публичного :)
3) клонируешь репозиторий не по https, а по ssh, типа
git clone git@github.com:<user>/<repo>
Или можно существующий изменить, чтобы он работал по ssh, а не по https:
git remote set-url origin git@github.com:<user>/<repo>
Ответить | Правка | Наверх | Cообщить модератору

18. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от OnTheEdgeemail (ok), 13-Авг-21, 09:03 
> 1) генеришь SSH-ключ

ещё надо выполнить:

ssh -T git@github.com

Ответить | Правка | Наверх | Cообщить модератору

20. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (143), 13-Авг-21, 09:04 
> ещё надо прописать
> ssh -T git@github.com

Это уже можно сделать после шага 2), просто чтобы убедиться, что аутентификация по SSH работает.

Ответить | Правка | Наверх | Cообщить модератору

31. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (31), 13-Авг-21, 10:32 
Напишите простенькую инструкцию по шагам, как поставить Виндоус: сколько не читал инструкции - так и не въехал чего делать то. ;)
Ответить | Правка | Наверх | Cообщить модератору

33. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (33), 13-Авг-21, 10:38 
Используй PuTTY для генерации ключа и Pageant как связку ключей SSH, Git для винды вроде из коробки pageant понимает.
Ответить | Правка | Наверх | Cообщить модератору

57. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (56), 13-Авг-21, 12:58 
Только вот вчера проделывал эту процедуру под виндой
https://docs.github.com/en/github/authenticating-to-github/c...

ssh-keygen есть стандартно в git bash

Ответить | Правка | Наверх | Cообщить модератору

62. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (62), 13-Авг-21, 13:10 
И что мне делать, когда приавтный ключ внезапно продолбится неизвестно куда (диск сломался, вирус шифровальщик, обама в подъезде все испортил, ....) ?
Ответить | Правка | Наверх | Cообщить модератору

71. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (71), 13-Авг-21, 14:02 
ох уж эти зумеры ...
на бумажку перепиши.
Ответить | Правка | Наверх | Cообщить модератору

104. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 13-Авг-21, 16:31 
Сгенеришь новый ключ, зальёшь его на гитхаб, как с предыдущим ключом
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

152. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (152), 13-Авг-21, 23:43 
Какой putty блин в 10 уже давно есть openssh встроенный
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

163. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (163), 14-Авг-21, 06:26 
Вроде же в putty мышой/тачпадом удобнее возюкать всякие копи-пасты. Или нет?
Ответить | Правка | Наверх | Cообщить модератору

185. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от КО (?), 14-Авг-21, 15:38 
Линукс-вей всегда тернист и слишком глуп.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

14. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Урри (ok), 13-Авг-21, 08:59 
Дока на гитхабе:

1. https://docs.github.com/en/github/authenticating-to-github/c...
2. https://docs.github.com/en/github/authenticating-to-github/c...
(эти ссылки разные, парсер не показывает)

--
А если коротко, то

1. Выполнить ssh-keygen -t ed25519 -C "я@мылоюком" -f github
2. Скопировать содержимое ~/.ssh/github.pub на страничку https://github.com/settings/ssh/new
3. В ~/.ssh/config (если нету - создать) добавить следущее:

#---------------------
# github.com
Host github.com
  PreferredAuthentications publickey
  IdentityFile ~/.ssh/github
#---------------------

Все. С гитом работать теперь через ssh (как git@github.com:юзер/репо.git), а не https (как https://github.com/юзер/репо).

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

17. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (143), 13-Авг-21, 09:02 
> 3. В ~/.ssh/config (если нету - создать) добавить следущее:
> #---------------------
> # github.com
> Host github.com
>   PreferredAuthentications publickey
>   IdentityFile ~/.ssh/github
> #---------------------

А это зачем? На случай, если для гитхаба отдельный ssh-ключ, а не id_rsa или id_ecdsa?

Ответить | Правка | Наверх | Cообщить модератору

21. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Урри (ok), 13-Авг-21, 09:08 
не на случай, а так и есть - там параметр -f в команде.

это универсальное решение, для всех и вся, и чтобы не путаться потом.

Ответить | Правка | Наверх | Cообщить модератору

32. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (31), 13-Авг-21, 10:34 
У семи нянек дитя без глаза
Ответить | Правка | Наверх | Cообщить модератору

5. "GitHub запрещает парольную аутентификацию при доступе к Git "  –2 +/
Сообщение от A.Stahl (ok), 13-Авг-21, 08:24 
Ага, недавно возился с этим переходом. Вроде заставил работать, но это было не самое приятное приключение. Документация фрагментарная, каждая страница покрывает какой-то маленький кусок и как всё это слепить на кучу -- х.з.
Если понадобится провести эту манипуляцию ещё раз, то придётся разбираться заново. Как с регулярными выражениями.
Ответить | Правка | Наверх | Cообщить модератору

6. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от OnTheEdgeemail (ok), 13-Авг-21, 08:29 
> Как с регулярными выражениями

для меня re сродни езде на велосипеде — но люди разные

Ответить | Правка | Наверх | Cообщить модератору

10. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (2), 13-Авг-21, 08:44 
>сродни езде на велосипеде

Эта фраза дискриминирует тех кто не умеет кататся на велосипедах...

Ответить | Правка | Наверх | Cообщить модератору

15. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от OnTheEdgeemail (ok), 13-Авг-21, 09:01 
а если я чёрный?
Ответить | Правка | Наверх | Cообщить модератору

19. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (19), 13-Авг-21, 09:04 
А если я долларовый миллионер?! Ну, я чувствую себя таким!
Ответить | Правка | Наверх | Cообщить модератору

141. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (141), 13-Авг-21, 20:04 
Тогда солнце ещё высоко
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

105. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 13-Авг-21, 16:42 
А вводить пароль каждый раз - более приятное приключение что ли?

И нормальная там документация, мне вот легко всё настроить было. Да и SSH-ключ - это ж де-факто стандарт доступа к Git. На работе ты как к конторскому гиту подключаешься, без SSH ключа что ли? Через git daemon без аутентификации? А просто на другие хосты по SSH тоже без ключа ходишь, каждый раз пароль вбиваешь?

Ты ж тут старожил, 10 лет как уже зарегистрирован. До сих пор SSH-ключами пользоваться не научился? Ну хоть гитхаб заставил научиться, и то хорошо.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

115. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от A.Stahl (ok), 13-Авг-21, 16:57 
Пароль можно было прописать в конфиг и забыть. Точно так же, как сейчас этот ключ. Пароль не нужно было вводить каждый пуш.

>на другие хосты по SSH тоже без ключа ходишь

Я программист, а не админ. Я по ssh пару раз в неделю коннекчусь. Так что ввожу пароль и совершенно не страдаю по этому поводу.

Ответить | Правка | Наверх | Cообщить модератору

171. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от СеменСеменыч777 (?), 14-Авг-21, 12:44 
> Я программист, а не админ.

окей. в таком случае запрограммируйте приложение, которое будут болтаться на локалхосте и обманывать шитхаб. я даже предвижу ненулевой спрос на такую штуку.

Ответить | Правка | Наверх | Cообщить модератору

164. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (163), 14-Авг-21, 06:53 
> А вводить пароль каждый раз - более приятное приключение что ли?

Безопасность - это всегда гемор.

> А просто на другие хосты по SSH тоже без ключа ходишь, каждый раз пароль вбиваешь?

Я, например, хожу с ключом, но и пароль от ключа каждый раз вбиваю, да.

А вот раньше для ssh использовал только пароли, но облачные провайдеры подтолкнули к использованию ключей.
И вот не факт, как выше уже указали, что ключи безопаснее паролей, даже если ключи запаролены.

Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

167. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Владислав (??), 14-Авг-21, 12:18 
> А вводить пароль каждый раз - более приятное приключение что ли?

пароль может быть читаемым

Ответить | Правка | К родителю #105 | Наверх | Cообщить модератору

16. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от Урри (ok), 13-Авг-21, 09:02 
Дока на гитхабе:

1. https://docs.github.com/en/github/authenticating-to-github/c...
2. https://docs.github.com/en/github/authenticating-to-github/c...
(эти ссылки разные, парсер не показывает)

--
А если коротко, то

1. Выполнить ssh-keygen -t ed25519 -C "я@мыло.ком" -f github
2. Скопировать содержимое ~/.ssh/github.pub на страничку https://github.com/settings/ssh/new
3. В ~/.ssh/config (если нету - создать) добавить следущее:

#---------------------
# github.com
Host github.com
  PreferredAuthentications publickey
  IdentityFile ~/.ssh/github
#---------------------

Все. С гитом работать теперь через ssh (как git@github.com:юзер/репо.git), а не https (как https://github.com/юзер/репо).

Ответить | Правка | Наверх | Cообщить модератору

42. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (42), 13-Авг-21, 11:28 
Разве не нужно ещё и ssh-agent потыкать чтобы авторизация заработала?
Ответить | Правка | Наверх | Cообщить модератору

70. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (70), 13-Авг-21, 13:58 
Не нужно. Работает. Проверено.
Ответить | Правка | Наверх | Cообщить модератору

23. "GitHub запрещает парольную аутентификацию при доступе к Git "  –8 +/
Сообщение от iPony129412 (?), 13-Авг-21, 09:10 
Давно пора выкинуть. Удар 🥊 по луддитам.
Ответить | Правка | Наверх | Cообщить модератору

24. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Админ Анонимов (?), 13-Авг-21, 09:34 
скоро и ssh-ключи тоже устареет и оставят только православные токены.
Ответить | Правка | Наверх | Cообщить модератору

25. "GitHub запрещает парольную аутентификацию при доступе к Git "  –2 +/
Сообщение от Аноним (25), 13-Авг-21, 10:07 
Патриарх Кирилл одобрил?
Ответить | Правка | Наверх | Cообщить модератору

47. "GitHub запрещает парольную аутентификацию при доступе к Git "  –3 +/
Сообщение от Жироватт (ok), 13-Авг-21, 11:50 
Лично убийца-рецедивист, мошенник, вор и просто хороший б-жинька Яхве Саваоф
Ответить | Правка | Наверх | Cообщить модератору

27. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от пох. (?), 13-Авг-21, 10:27 
Не устареет. Для того и заставили всех на них переходить, чтобы было удобнее их воровать.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

39. "GitHub запрещает парольную аутентификацию при доступе к Git "  –4 +/
Сообщение от Аноним (42), 13-Авг-21, 11:23 
пох., тебе ж даже сам ssh кричит выставлять rw----- на приватных ключах, да и диск шифрануть (ну или хотя бы раздел с этим всем секретным говном) давно пора. Каким образом ты представляешь себе утечку ключа с компа? Ещё скажи что пароль на бумажке хранишь и вот прям точно-точно никто у тебя его не украдёт (или ещё лучше, пароль такой, что запоминать его не особо сложно, как и перебирать).
Ответить | Правка | Наверх | Cообщить модератору

134. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (134), 13-Авг-21, 17:54 
и спрашивается, нахрена мне надо с этим мучиться и что-то там выставлять и шифровать, если есть православные пароли?
Ответить | Правка | Наверх | Cообщить модератору

146. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Аноним (146), 13-Авг-21, 20:58 
>Каким образом ты представляешь себе утечку ключа с компа?

Через дыру в браузере, почте или в git. Для них то все эти ключи внутри зашифрованных файловых систем видны открытым текстом, если их не шифровать отдельно от ФС.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

172. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от СеменСеменыч777 (?), 14-Авг-21, 12:49 
> Каким образом ты представляешь себе утечку ключа с компа?

remote shell + повышение привилегий для local root (или LOCAL SYSTEM).
плакали ваши 0600 (что за чушь "rw-----" ?), да и пароли тоже через кейлоггер.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

89. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от vz_2 (?), 13-Авг-21, 14:43 
> Удар 🥊 по луддитам.

По фейсу, а если что-то не так с поведением, то антифродом блочить навсегда.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

28. "GitHub запрещает парольную аутентификацию при доступе к Git "  +6 +/
Сообщение от б.б. (?), 13-Авг-21, 10:28 
скоро совет безопасности ООН будут собирать каждый раз, когда кто-то на гитхаб входит, и решать, пускать или нет

по мне, так это усложнение жизни обычным пользователям, что кто-то хотел покоммитить сам себе потихонечку. теперь не будет. вива ля fossil!

Ответить | Правка | Наверх | Cообщить модератору

45. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от пох. (?), 13-Авг-21, 11:44 
зато горе-хакерам какое облегчение!
Еще и один ключик от всего.
Ответить | Правка | Наверх | Cообщить модератору

76. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Gogi (??), 13-Авг-21, 14:19 
Нет такой чужой вещи, которая развивалась бы нормально после попадания в лапы му@ософта.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

29. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Аноним (29), 13-Авг-21, 10:30 
Хороший повод свалить на битбукет
Ответить | Правка | Наверх | Cообщить модератору

34. "GitHub запрещает парольную аутентификацию при доступе к Git "  +5 +/
Сообщение от пох. (?), 13-Авг-21, 10:45 
хороший повод не вести разработку в дядиных сервисах.
Очередной.

Используй как средство общения, раз уж его невозможно избежать. С readonly доступом и только экспортом из реального рабочего репо.

Ответить | Правка | Наверх | Cообщить модератору

178. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (178), 14-Авг-21, 14:30 
Сразу видно инцидент с репозиторией PHP ничему не научил
Ответить | Правка | Наверх | Cообщить модератору

77. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Gogi (??), 13-Авг-21, 14:19 
битбакет - не панацея, там нет Mercurial.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

103. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от пох. (?), 13-Авг-21, 16:30 
> битбакет - не панацея, там нет Mercurial.

так его нигде теперь нет - пихон2 все.
А пейсбук свой не отдает (точнее, выложил какой-то несобираемый by design мусор)


Ответить | Правка | Наверх | Cообщить модератору

87. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (87), 13-Авг-21, 14:30 
Хороший повод свалить на собственное хранилище. Теперь гитхаб, гитлаб и битбакет соревнуются тормознутостью интерфейсов, а не фичами.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

96. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от пох. (?), 13-Авг-21, 15:24 
они не хранилище, когда ж до альтернативно-одаренных это дойдет?
Ответить | Правка | Наверх | Cообщить модератору

159. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (87), 14-Авг-21, 02:35 
Дойдет, если обоснуешь, почему гитхаб и прочее - не хранилище
Ответить | Правка | Наверх | Cообщить модератору

189. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от n00by (ok), 14-Авг-21, 16:43 
Это средства обмена исходниками, багтреккер и социальная сеть. Хранить можно на болванках.
Ответить | Правка | Наверх | Cообщить модератору

194. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (87), 14-Авг-21, 19:08 
Ты путаешь с бэкапами. У меня есть репо и N машин. Я пишу код, делаю коммит, сажусь за другую машину, делаю пул и продолжаю работать. Багтрекер, социальная сеть и делиться кодом мне нафиг не сдалось. Сам таскай с собой мешок с болванками.
Ответить | Правка | Наверх | Cообщить модератору

204. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от n00by (ok), 15-Авг-21, 07:36 
> Ты путаешь с бэкапами. У меня есть репо и N машин.

Это Вы мыслите в базисе сложения по модулю два и получаете или-или.

> Я пишу код, делаю коммит, сажусь за другую машину, делаю пул и
> продолжаю работать.

Это и есть обмен. =) Частный случай.

> Багтрекер ... мне нафиг не сдалось

Вам и программировать не нужно. Это просто не Ваше.

Ответить | Правка | Наверх | Cообщить модератору

205. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (87), 15-Авг-21, 15:48 
Так по твоей логике болванки - такое же средство обмена кодом, частный случай, нещитово.
Ответить | Правка | Наверх | Cообщить модератору

206. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от n00by (ok), 15-Авг-21, 16:22 
> Так по твоей логике болванки - такое же средство обмена кодом, частный
> случай, нещитово.

Ну если к ним приделать ноги, тогда да. =)

Ответить | Правка | Наверх | Cообщить модератору

35. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (35), 13-Авг-21, 10:45 
Скоро оставят вход только через Майкрософтский аккаунт.
Не зря, после покупки Гитхаба Майкрософтом, люди массово бежали на Гитлаб!
Ответить | Правка | Наверх | Cообщить модератору

37. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (37), 13-Авг-21, 10:48 
Хомячков надо доить они это любят
Ответить | Правка | Наверх | Cообщить модератору

43. "GitHub запрещает парольную аутентификацию при доступе к Git "  –2 +/
Сообщение от пох. (?), 13-Авг-21, 11:29 

> Не зря, после покупки Гитхаба Майкрософтом, люди массово бежали на Гитлаб!

где чистой парольной авторизации и не было никогда? Молодцы, обогнали проклятую корпорацию, зла, срезав угол.


Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

196. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 14-Авг-21, 19:54 
Неправда же, что не было никогда. До сих пор есть. Не понимаю, зачем так лажаться и врать про то, что легко проверить.
Ответить | Правка | Наверх | Cообщить модератору

36. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (37), 13-Авг-21, 10:47 
Потом введут коммиты на гитхаб только по паспорту. А то иж чего удумали бесплатный софт в интернет выкладывают не дают Майкам миллиарды долларов зарабатывать.
Ответить | Правка | Наверх | Cообщить модератору

65. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 13-Авг-21, 13:39 
> Потом введут коммиты на гитхаб только по паспорту.

Потом введут доступ только по токенам, генерируемыми единственно верными системами, неподконтрольными пользователю. Например, ОАuth, госуслуги...

Ответить | Правка | Наверх | Cообщить модератору

50. "GitHub запрещает парольную аутентификацию при доступе к Git "  +6 +/
Сообщение от Crazy Alex (ok), 13-Авг-21, 12:08 
Я только одного не понимаю - кто и зачем туда ходит НЕ по ключу. У меня это всегда с любыми гитами было первым делом - настроить нормальный вход по ключу и забыть обо всех проблемах. Гит же дёргается постоянно, задолбаешься пароль каждый раз вводить.

Или вы пушите раз в три дня?

Ответить | Правка | Наверх | Cообщить модератору

53. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от A.Stahl (ok), 13-Авг-21, 12:14 
Пароль  не обязательно вводить каждый раз. Его можно было вписать в какой-то конфиг и всё работало без проблем.

Ответить | Правка | Наверх | Cообщить модератору

58. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (56), 13-Авг-21, 13:01 
Все нормальные GUI для работы с гитом умеют сохранять пароль. А вот с ключом каждый раз проблема, либо его куда-то бекапить либо каждый рез при смене системы перегенерировать.
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

61. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от hefenud (ok), 13-Авг-21, 13:06 
А ты не бэкапишь ~?
Что-то ты делаешь не так

Почему у меня в бэкапах есть ключи которые я генерил еще 15 лет назад и которые давно не использую(rsa-2048, убрал их отовсюду, но в бэкапах хранятся), а ты вдруг думаешь, что кто-то может потерять ключ? Чувак, блин! Ключ это один из основных твоих инструментов, если ты работаешь с серверами и гитом.

Ответить | Правка | Наверх | Cообщить модератору

100. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Ivan_83 (ok), 13-Авг-21, 16:21 
Это вендузятник, сразу можно было понять, у них вечно проблемы с очевидными вещами.
Ответить | Правка | Наверх | Cообщить модератору

81. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Аноним (81), 13-Авг-21, 14:23 
>Или вы пушите раз в три дня?

Я пушу пару раз в месяц в свободное время, зачем мне этот цирк с ключами?

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

55. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (81), 13-Авг-21, 12:31 
А можно вопрос — зачем?
Ответить | Правка | Наверх | Cообщить модератору

59. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от hefenud (ok), 13-Авг-21, 13:04 
Зачем кто-то ходил по паролю?
Вот тоже не понимаю

Всегда по ключу на любой гит хожу(гитхаб, гитлаб, свой инстанс гитеа). Зачем вообще кто-то ходил по паролю не понимаю.

Ответить | Правка | Наверх | Cообщить модератору

82. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от Аноним (37), 13-Авг-21, 14:23 
А какая проблема кому-то ходить по паролю, а тебе по ключу?
Ответить | Правка | Наверх | Cообщить модератору

84. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (81), 13-Авг-21, 14:26 
Т.е. я всегда и везде должен таскать с собой этот ключ, даже если пользуюсь хабом раз в полугодие?
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

75. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Нанобот (ok), 13-Авг-21, 14:17 
> ужесточение требований к аутентификации позволит защитить пользователей от компрометации их репозиториев в случае утечки пользовательских баз или взлома сторонних сервисов, на которых пользователи использовали одни и тех же пароли с GitHub.

Какое из этих слов тебе не понятно?

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

85. "GitHub запрещает парольную аутентификацию при доступе к Git "  –3 +/
Сообщение от Gogi (??), 13-Авг-21, 14:27 
Ты вот совсем недалёкий? Слов можно целый том нагородить, только как у путина получится: сказал много, но ниачом.

1. Взломы были, есть и будут. Если базу можно "утечь", значит можно взломать всё. Собственно, даже эта ср@ная база не нужна, достаточно доступа к самому репозиторию.
2. РЕЗКО повышается порог вхождения, ОСОБЕННО для людей, далёких от админских штучек. Для меня, погромизда, вообще НИКОГДА не стояла задача возни с какими-то ключами. Пароли - да, хэширую, но не более. Хуже того - сижу под вендой и мне эти sshёпрстloginsuperuser вообще не упали!
3. Зачем вообще что-то трогать?! Жили прекрасно с паролями, коммитили и тут на тебе - "все предыдущие годы вы жили неправильно! Не по-микрософтовски!".
4. Как обеспечивать сохранность приватного пароля? Ну вот обычный юзерский комп, который ВНЕЗАПНО могут переустановить, может диск полететь, украсть могут, да что угодно! И что делать?? Бежать к Гейтсу "мамой клянусь, это я DarkLordOfTheInternet"? Или ещё паспорт прикажешь светить?

Кто не понимает проблемы "токенов", тот пока не дорос до участия в обсуждении ИТ - сидите и слушайте, что умные люди говорят.

Ответить | Правка | Наверх | Cообщить модератору

98. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Ordu (ok), 13-Авг-21, 16:09 
> 1. Взломы были, есть и будут. Если базу можно "утечь", значит можно взломать всё. Собственно, даже эта ср@ная база не нужна, достаточно доступа к самому репозиторию.

Нет. При парольной аутентификации, взломщик получит хеш твоего пароля из базы. Дальше он может локально подбирать пароль под хеш. При аутентификации ключом, он получит публичный ключ. Успехов ему теперь подобрать приватный.

> 2. РЕЗКО повышается порог вхождения, ОСОБЕННО для людей, далёких от админских штучек. Для меня, погромизда, вообще НИКОГДА не стояла задача возни с какими-то ключами. Пароли - да, хэширую, но не более. Хуже того - сижу под вендой и мне эти sshёпрстloginsuperuser вообще не упали!

Мы говорим о git? Порог для входа повышается? =)

Порог для входа на github -- это способность справится с веб-интерфейсом. Использование командной строки git -- это следующий левел.

> 3. Зачем вообще что-то трогать?! Жили прекрасно с паролями, коммитили и тут на тебе

Задай этот вопрос гуглу. Там есть довольно много обоснований тому, почему парольная аутентификация сосёт. Некоторые из них я здесь изложил.

> 4. Как обеспечивать сохранность приватного пароля?

Это несомненно недостаток. Бесспорно. Но в этом отношении ситуация не лучше для паролей. Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске.

> Кто не понимает проблемы "токенов", тот пока не дорос до участия в обсуждении ИТ - сидите и слушайте, что умные люди говорят.

Грязный демагогический приём, вида аппеляция к авторитету. Он может работать только тогда, когда авторитет есть. И даже когда есть, оно не всегда работает, только против тех, кто ещё более туп, чем ты.

Ответить | Правка | Наверх | Cообщить модератору

116. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Урри (ok), 13-Авг-21, 16:59 
> Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске.

Это элементарно, Ватсон:

Надо один единственный раз запомнить сложную фразу типа Ja8%7MamkYnxakep777 на всю жизнь и все случаи, и просто каждый раз прописывать ему соль в виде веб-адреса после, скажем, седьмого символа. Или до.

Все, ваш пароль забрутфорсить невозможно, сколько хеши с разных ресурсов не сливай.

Ответить | Правка | Наверх | Cообщить модератору

124. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (136), 13-Авг-21, 17:23 
> прописывать ему соль

ЗОЖ запрещает солить!

Ответить | Правка | Наверх | Cообщить модератору

125. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Ordu (ok), 13-Авг-21, 17:25 
>> Хранить надёжные пароли в голове невозможно. Это можно только при использовании одного пароля на многих сервисах. А это ещё менее безопасно, нежели хранение паролей в файлике на диске.
> Это элементарно, Ватсон:
> Надо один единственный раз запомнить сложную фразу типа Ja8%7MamkYnxakep777 на всю жизнь
> и все случаи, и просто каждый раз прописывать ему соль в
> виде веб-адреса после, скажем, седьмого символа. Или до.
> Все, ваш пароль забрутфорсить невозможно, сколько хеши с разных ресурсов не сливай.

Это секурити сру обскурити. Это мнемоническое правило, которое брутфорсеры паролей могут учесть. Ты только что рассказал это правило всем, и, поэтому, возможно, они уже учли. Ты можешь придумать другое, но... сколько таких правил могут придумать люди? 100? 1000? Какие-то из этих правил содержат произвольный параметр, типа "соли" которая может быть уникальная для каждого человека? Насколько это увеличивает пространство перебора? В 1000 раз? То есть, теперь угон одного твоего пароля позволяет перебрав миллион комбинаций угадать твой пароль для другого сервиса, так? Миллион комбинаций для современного cpu -- это пустое место, для видеокарты тем более. Ах, ты используешь одно и то же значение параметра для каждого сайта? То есть узнав этот параметр один раз, мы теперь знаем твои пароли для всех?

Может ты думаешь, что невозможно создать список всех таких правил? Возможно -- достаточно чтобы достаточное количество паролей попало бы в руки достаточно мотивированного человека, чтобы он сидел и анализируя пароли, искал бы схожие чем-то, и придумывал правила перебора, которые эти схожести учтут. При этом, я не удивлюсь, если _уже_ существуют инструменты задействующие AI, под то, чтобы такой анализ базы паролей с категоризацией и генерацией правил под каждую категорию производить автоматически. Если таких инструментов ещё нет, то это временно.

Все эти гениальные идеи, как обмануть законы криптографии -- это костыли. И под каждый костыль, если подумать хорошенько можно придумать антикостыль. На то они и костыли. Есть гораздо менее костыльное решение -- менеджер паролей. Ты аутентифицируешь себя менеджеру паролей каким-то образом -- может быть паролем, который невозможно подобрать, единственным паролем, который ты помнишь, -- менеджер паролей затем отвечает на твои вопросы о том, какой у тебя пароль к тому или иному сервису. И вот тут ты можешь использовать сколь угодно сложные пароли. Или ты можешь использовать ключи -- тебе уже без разницы, ключи или пароли.

Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

209. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Урри (ok), 23-Авг-21, 19:19 
> Все эти гениальные идеи, как обмануть законы криптографии -- это костыли. И под каждый костыль, если подумать хорошенько можно придумать антикостыль. На то они и костыли. Есть гораздо менее костыльное решение -- менеджер паролей.

Какая феноменальная глупость. Вместо того, чтобы злоумышленники десятки лет пытались вычислить по хешам существующие только в голове различные пароли под каждый сервис, им достаточно просто украсть один-единственный файл, где эти пароли лежат в прямом текстовом (хоть и зашифрованным одним-единственным паролем) файл.

Вы, Ordu, чем вообще думали, когда это все писали?

Ответить | Правка | Наверх | Cообщить модератору

169. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Владислав (??), 14-Авг-21, 12:36 
> Мы говорим о git? Порог для входа повышается? =)

да. внезапно гитхабом пользуются не толькор проф программисты

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

198. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Ordu (ok), 14-Авг-21, 23:04 
>> Мы говорим о git? Порог для входа повышается? =)
> да. внезапно гитхабом пользуются не толькор проф программисты

Дело не в программировании, git считается крайне сложным для освоения.

https://xkcd.com/1597/

Ответить | Правка | Наверх | Cообщить модератору

190. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от n00by (ok), 14-Авг-21, 16:58 
> Хуже того -
> сижу под вендой и мне эти sshёпрстloginsuperuser вообще не упали!

Вот это номер. Микрософт выгоняет разработчиков со своей "99% десктопа".

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

91. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (81), 13-Авг-21, 14:50 
Так на веб-морде всё равно пароль остаётся, какой смысл?
Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

121. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 13-Авг-21, 17:11 
Чтобы сопоставить базы (утекших) паролей и (утекших) приватных ключей.
Ответить | Правка | Наверх | Cообщить модератору

114. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Урри (ok), 13-Авг-21, 16:55 
Затем, что большинство юзверей шитхаба - смузихлебы и джаваскриптеры с растаманами. А они, как известно, в "безопастность" ни в зуб ногой, ибо за них "все делает" компилятор с интерпретатором.

Ну и вот, поток жалоб "ааааа, мой пароль хакеры на малолетки.секс стырили, теперь на шитхабе все поудаляли" настолько гитхаб задолбал, что они надумали решить проблему тотальным отрубанием рук и ног. Всем.
Ибо ресурсов на отделить зерна от плевел у них не хватает.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

63. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Аноним (136), 13-Авг-21, 13:17 
Теперь вместо того, чтобы использовать мозг, придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу. "Инверсия зависимости".
Ответить | Правка | Наверх | Cообщить модератору

67. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от myhand (ok), 13-Авг-21, 13:48 
Опиши как ты раньше "использовал мозг" - вбивал пароль из пяти символов, что-то более страшное?  Не томи!
Ответить | Правка | Наверх | Cообщить модератору

68. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (136), 13-Авг-21, 13:55 
Я раньше использовал мозг, а не раздавал приватные ключи направо и налево
Ответить | Правка | Наверх | Cообщить модератору

73. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от myhand (ok), 13-Авг-21, 14:14 
> Я раньше использовал мозг

Как, анон?  Я начинаю подозревать, что ты им об стенку бился..


Ответить | Правка | Наверх | Cообщить модератору

79. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 13-Авг-21, 14:22 
> им об стенку бился

По себе судишь?

Ответить | Правка | Наверх | Cообщить модератору

80. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (37), 13-Авг-21, 14:22 
По себе судишь.
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

78. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Нанобот (ok), 13-Авг-21, 14:20 
> придется раздавать приватный ключ на все устройства

Необязательно - можно настроить agent forwarding и твой локальный ключ будет доступен во всех удалённых сессиях

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

83. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 13-Авг-21, 14:25 
> твой локальный ключ будет доступен во всех удалённых сессиях

В каких удаленных сессиях? На ноутбук ходить с рабочей станции?

Ответить | Правка | Наверх | Cообщить модератору

126. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Нанобот (ok), 13-Авг-21, 17:27 
для такого использования не подойдет. Это скорее для случая "зайти на сервер, и с него git pull сделать"
Ответить | Правка | Наверх | Cообщить модератору

111. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (111), 13-Авг-21, 16:49 
Какая глупость.

А иметь для каждого устройства свою пару ключей и все публичные добавить не?

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

122. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 13-Авг-21, 17:20 
> все публичные добавить не?

Добавлять как, используя пароль, который как был, так и остался?

Ответить | Правка | Наверх | Cообщить модератору

127. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Нанобот (ok), 13-Авг-21, 17:29 
Можно. Только как-то это слишком сложно
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

86. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от Gogi (??), 13-Авг-21, 14:29 
Мелкософт слабо понимает, что такое "общий сервис для хомячков" - какая-то индусячья и@иотина решила поиграть в секурность и деанонимизацию. А хомячкам как обычно - страдать. Неужели кто-то ожидал другого от Микрософт?!! :)))
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

90. "GitHub запрещает парольную аутентификацию при доступе к Git "  +2 +/
Сообщение от vz_2 (?), 13-Авг-21, 14:49 
> Неужели кто-то ожидал другого от Микрософт?!! :)))

Не бывает добрых корпораций, как и их плодов.

PS:
15 Берегитесь лжепророков, которые приходят к вам в овечьей одежде, а внутри суть волки хищные.
16 По плодам их узнаете их. Собирают ли с терновника виноград или с репейника смоквы?
17 Так всякое дерево доброе приносит и плоды добрые, а худое дерево приносит и плоды худые.
18 Не может дерево доброе приносить плоды худые, ни дерево худое приносить плоды добрые.
19 Всякое дерево, не приносящее плода доброго, срубают и бросают в огонь.
20 Итак, по плодам их узнаете их.

(сказано 2 тыс. лет назад)

Ответить | Правка | Наверх | Cообщить модератору

94. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Майкрософтик (?), 13-Авг-21, 15:20 
Еще один всё понял. Но мы и тебя хомячка подоим и ты ничего не сделаешь. Потому что мы корпорация, а хомячки это стадо.
Ответить | Правка | К родителю #86 | Наверх | Cообщить модератору

107. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от vz_2 (?), 13-Авг-21, 16:45 
Ну так индийцы особо и не скрывают наличие кастовой системы :)
Ответить | Правка | Наверх | Cообщить модератору

106. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от hefenud (ok), 13-Авг-21, 16:43 
Зачем ты собрался делать эту глупость?
Приватный ключ должен хранится на единственной машине

На каждой генерится свой ключ и добавляется в гитхаб/гитлаб/гитеа. В чем проблема?

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

117. "GitHub запрещает парольную аутентификацию при доступе к Git "  –2 +/
Сообщение от Урри (ok), 13-Авг-21, 17:01 
В том, что следующим шагом будет "больше пяти ключей бесплатно нельзя", наверное.

Хотя у гитхаба пока политика была наоборот, в сторону расширения бесплатных возможностей (например, приватные репы сделали без премиума), но это же МС - бойтесь данайцев дары приносящих.

Ответить | Правка | Наверх | Cообщить модератору

123. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от hefenud (ok), 13-Авг-21, 17:23 
> В том, что следующим шагом будет "больше пяти ключей бесплатно нельзя"

Опять придумываем сами страшилки и пугаемся?

Ответить | Правка | Наверх | Cообщить модератору

133. "GitHub запрещает парольную аутентификацию при доступе к Git "  –3 +/
Сообщение от Аноним (136), 13-Авг-21, 17:50 
Как добавляется? Только не говори, что на веб странице с использованием пароля.

Зачем дополнительные ключи, если без пароля ничего не сделаешь?

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

153. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от hefenud (ok), 13-Авг-21, 23:59 
Веб-интерфейс использует пароль+TOTP(и не нужно визжать про кровавый гугл который у тебя его украдет, есть реализации TOTP для десктопа и даже гугловая прога для TOTP работает без сети)

git бай дизайн работает через ssh, то что гитхаб приделывал к нему работу через https это было их дело и они его сейчас делают более безопасным убирая пароль

Ответить | Правка | Наверх | Cообщить модератору

174. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 14-Авг-21, 13:44 
> они его сейчас делают более безопасным убирая пароль

Пароль не убрали. Он также хранится у гитхаба. Чтобы работал веб интерфейс.

Если везде использовался один протокол - только пароли, то дыра была бы только в одном месте. Теперь дыра может быть в двух обязательных местах - пароли и ключи (а также токены хрен знает от кого). Увеличили периметр.

Ответить | Правка | Наверх | Cообщить модератору

137. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (136), 13-Авг-21, 18:37 
> Приватный ключ должен хранится на единственной машине

Это делается не так, а через цепочку доверия (X.509  и тп) Пользователь один раз добавляет корневой сертификат на сервер. И у себя создает сертификаты, подписанные корневым. Тогда да, пароль не нужен.

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

148. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 13-Авг-21, 21:34 
Git клиенты так не умеют, да и излишнее усложнение. Ну и где X.509, там и X.500 Distinguished Name style имена, X.509 v3 extensions, CRL, OCSP, ограничения сертификатов по времени, необходимость использования полновесной криптобиблиотеки, ибо X.509 это просто дофигища кода; невозможность использования SSH.
Ответить | Правка | Наверх | Cообщить модератору

177. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 14-Авг-21, 14:19 
> Git клиенты так не умеют

Это проблемы тех, кто заявляет про "безопасность".

Насколько помню гитхаб несколько раз меняла рекомендацию про использование паролей (https или ssh). Может, потому что аксиома эскобара?

Ответить | Правка | Наверх | Cообщить модератору

170. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Владислав (??), 14-Авг-21, 12:39 
> Пользователь один раз добавляет корневой сертификат на сервер. И у себя создает сертификаты, подписанные корневым.

Это для пользователя полная жопа и гемор на ровном месте.

Ответить | Правка | К родителю #137 | Наверх | Cообщить модератору

132. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 13-Авг-21, 17:45 
> Теперь вместо того, чтобы использовать мозг, придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу. "Инверсия зависимости".

Необязательно иметь один публичный ключ. Можно использовать разные ключи на разных устройствах.

А мозг лучше использовать для более полезных задач, чем запоминание пароля.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

135. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (136), 13-Авг-21, 17:55 
Чтобы иметь разные ключи, надо иметь "один ключ". В случае с гитхабом это - пароль. Который был, есть и будет есть.

Какой смысл запрета паролей, если пароль есть?

Ответить | Правка | Наверх | Cообщить модератору

138. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 13-Авг-21, 18:39 
Например, privilege separation. При аутентикации по ключу или токену пароль не надо вводить каждый раз, и хранить пароль тоже нигде не надо. Значит гораздо труднее увести весь аккаунт.
Ответить | Правка | Наверх | Cообщить модератору

139. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (136), 13-Авг-21, 18:51 
SSH не передает пароль в открытом виде, и не хранит все время. Гитхаб хранит твой пароль (хеш). От чего защищает эта инициатива? Эта инициатива максимум однозначно привязывает гит-репу с уникальным ключем, по которому можно однозначно определить пользователя - деанонимизировать.
Ответить | Правка | Наверх | Cообщить модератору

142. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (156), 13-Авг-21, 20:14 
> SSH не передает пароль в открытом виде, и не хранит все время

Вот видишь как хорошо. Значит надо пользоваться SSH с ключами, а не HTTPS с паролями? Ты походу привёл аргумент против своей же позиции.

Про хранение паролей, на этой странице комментариев кто-то уже признался, что хранит пароль в конфиге. И он не один такой.

А деанонимизация происходит при любой аутентификации, что по ключу, что по паролю. В этом смысл аутентификации. Был неизвестно кто - стал юзер vasya.

Ответить | Правка | Наверх | Cообщить модератору

147. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (136), 13-Авг-21, 21:20 
> Вот видишь как хорошо.

Раз хорошо, зачем запрещать?

> Про хранение паролей

Гитхаб уже хранит и использует пароли, но пользователю запрещает. Массово пароли утекают из публичных сервисов (вроде гитхаба). Пусть с себя начнут.

> Был неизвестно кто - стал юзер vasya.

Это идентификация - присвоение имени (идентификатора) объекту.

Аутентификация - это про вероятность знания уникальной информации, вещи.

Ответить | Правка | Наверх | Cообщить модератору

157. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 14-Авг-21, 00:47 
Погоди, у нас какой-то странный диалог получается. Ты выдвигаешь утверждение, я его опровергаю, а ты, вместо того, чтоб признать свою ошибку - меняешь тему и выдвигаешь новое утверждение.

Давай откатимся на начало. Вот ты утверждал, что "придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу". Признаёшь, что был неправ?

Ответить | Правка | Наверх | Cообщить модератору

173. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (-), 14-Авг-21, 13:34 
> Погоди, у нас какой-то странный диалог получается. Ты выдвигаешь утверждение, я его
> опровергаю, а ты, вместо того, чтоб признать свою ошибку - меняешь тему и выдвигаешь новое утверждение.

А что не так? Это Спа^W опеннет! Еще и все очень цивильно происходит - обычно на опеннете после "тыканья носом в ошибку" следует спрыг с темы и переход на личности и прочая демагогия разной степени креативности (от "Дай угадаю - ты на самом деле виндузятник! Поэтому все что ты написал - не считается!" и до "На самом деле я просто набросил, а у школоты батхерт! )))))))").
"Зажрались вы, батенька!" (с)

Ответить | Правка | Наверх | Cообщить модератору

175. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 14-Авг-21, 13:53 
> Ты выдвигаешь утверждение, я его опровергаю

Пароль хранить надо.

Приватный ключ - это тоже пароль - хранить надо.

Что ты опровергал?

Теперь для доступа на гитхаб надо ОБЯЗАТЕЛЬНО хранить 2 секретных ключа: пароль и приватный ключ

Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

195. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (156), 14-Авг-21, 19:37 
Опровергал то, что "придется раздавать приватный ключ на все устройства, откуда хочется получить доступ к единственному публичному ключу". Это твоя цитата, специально в кавычки взял. Ведь не придётся же? Можно генерить разные ключи на разных устройствах, необязательно иметь единственный публичный ключ. Согласен с этим?
Ответить | Правка | Наверх | Cообщить модератору

197. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 14-Авг-21, 20:54 
> Можно генерить разные ключи на разных устройствах, необязательно иметь единственный публичный ключ.

И придется использовать пароль, чтобы зарегистрировать другие публичные ключ. И где запрет паролей?

Ответить | Правка | Наверх | Cообщить модератору

154. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от hefenud (ok), 14-Авг-21, 00:01 
При работе через ssh твой ключ является и твоим «логином», потому что ты обращаешься к git@github, а там уже по ключу проверяется есть ли доступ к заданной тобой репе.

И, да, конечно никакой пароль тогда не передается

Ответить | Правка | К родителю #139 | Наверх | Cообщить модератору

176. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 14-Авг-21, 13:58 
Гитхаб - это нет подконтрольный тебе git-сервер. Это соцчеть (с паролями от тупых пользователей, токенами от шибко умных третьих сервисов). Безопасность на высоком уровне!
Ответить | Правка | Наверх | Cообщить модератору

88. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от vz_2 (?), 13-Авг-21, 14:40 
> GitHub запрещает парольную аутентификацию при доступе к Git

А что нельзя было сделать как-то иначе?
К примеру, 3 раза ввёл пароль неправильно, блокировка на 3 часа с уведомлением на почту владельца, при этом ужесточив требования к сложности устанавливаемому паролю.

Ответить | Правка | Наверх | Cообщить модератору

93. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Майкрософтик (?), 13-Авг-21, 15:19 
Для чего? Чтобы пользователям было удобно? Нам это не надо. Пользователи просто наша кормовая база и это они нам должны.
Ответить | Правка | Наверх | Cообщить модератору

128. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Нанобот (ok), 13-Авг-21, 17:32 
Это чтобы все популярные разработчики из бана (точнее блокировки в целях безопасности) не вылезали?
Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

144. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от vz_2 (?), 13-Авг-21, 20:29 
> Это чтобы все популярные разработчики из бана (точнее блокировки в целях безопасности)
> не вылезали?

Ну для таких настраиваемое время блокировки от 10 минут, хотя сомневаюсь что так трудно ввести правильный пароль.

Ответить | Правка | Наверх | Cообщить модератору

97. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (141), 13-Авг-21, 15:43 
Все эти пароли, логины, QR-Коды и тому подобное чужды моему анонимному сердцу. Если нет возможности без регистрации отправить коммент или создавать контент, значит сайт не стоит времени.
Ответить | Правка | Наверх | Cообщить модератору

99. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (99), 13-Авг-21, 16:10 
Давно пора через Мордакнигу входить. Совсем олды обезумели с паролями.)
Ответить | Правка | Наверх | Cообщить модератору

113. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от vz_2 (?), 13-Авг-21, 16:51 
> Совсем олды обезумели с паролями

А мне сразу вспомнилась сцена из первого сезона "Видоизменённый углерод", когда Ковач оплатил услуги врачей смачным плевком в биосканер.

Ответить | Правка | Наверх | Cообщить модератору

119. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от freaker (?), 13-Авг-21, 17:05 
Мордокнига сосёт, есть не у всех и её популярность падает.
Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

109. "GitHub запрещает парольную аутентификацию при доступе к Git "  +1 +/
Сообщение от Аноним (111), 13-Авг-21, 16:46 
Фиолетово. Все адекватные люди давно сидят на собстенном хостинге.
Ответить | Правка | Наверх | Cообщить модератору

118. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Урри (ok), 13-Авг-21, 17:02 
Все НЕадекватные.
Какой смысл тратить время и деньги на администрирование и поддержку, если можно использовать бесплатное с тем же результатом?
Ответить | Правка | Наверх | Cообщить модератору

120. "GitHub запрещает парольную аутентификацию при доступе к Git "  +3 +/
Сообщение от freaker (?), 13-Авг-21, 17:06 
Смысл в том, чтобы не зависеть от очередной корпорации добра.
Ответить | Правка | Наверх | Cообщить модератору

129. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Нанобот (ok), 13-Авг-21, 17:33 
>адекватные

😂

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

158. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Ordu (ok), 14-Авг-21, 01:22 
> Все адекватные люди давно сидят на собстенном хостинге.

Как мне хорошо, что я неадекватный. Мне не надо тянуть хостинг собственного github'а.

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

160. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Ivan_83 (ok), 14-Авг-21, 02:57 
gitea легко хостится даже на всяком хламе.
Правда с большими репами и PR там не очень быстро всё работает.

И никто не мешает зеркалировать автоматом на кажды пуш куда угодно.
В общем то и публично доступных gitea/gogs хватает.

Ответить | Правка | Наверх | Cообщить модератору

161. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Ordu (ok), 14-Авг-21, 03:56 
> gitea легко хостится даже на всяком хламе.

А если я отвлекусь от своих проектов, потому что реальный мир заел, не до того, то что? Я буду вынужден тем не менее каждые две недели ходить туда обновлять софт? То есть мне не до того, но ходить обновлять я буду, так? Или лучше выключить этот хлам на полгодика, до тех пор, пока у меня вновь появится свободное время?

А если я не отвлекусь, мне всё равно надо будет каждые две недели париться с обновлением софта? Просматривать логи ежедневно -- не влез ли кто, через какую-нибудь дыру, может 0day какой, а может я в конфигурации чёта накосячил.

Мне неинтересно админство. Скучное занятие, по-моему, до крайней степени. Если очень надо, я могу позаниматься, но это если очень надо. Я держу иногда сайты на впсках разных под какую-нибудь мелкозадачу, но с радостью выдыхаю, когда задача выполнена, и сайт, наконец, можно аннулировать.

> В общем то и публично доступных gitea/gogs хватает.

Что ты имеешь в виду под публично доступными gitea/gogs? Это какие-то анонимные владельцы поделок, косящих под github? Они у тебя вызывают больше доверия, чем github? Если так, то почему?

Ответить | Правка | Наверх | Cообщить модератору

180. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от hefenud (ok), 14-Авг-21, 14:52 
А если ты отвлечешься, то оно будет продолжать работать
Хости свой инстанс у себя в локалке или на VPS, но доступным только по VPN
И никакие 0day тебе не страшны

У меня мой личный инстанс gitea работает на домашней RPi4+ исполняющей так же и роль десктопа, когда мне нужно из других мест с ноута, то доступен через VPN, наружу не светит. Ну и узнай про всякие автообновления, что ли.

Ответить | Правка | Наверх | Cообщить модератору

199. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Ordu (ok), 14-Авг-21, 23:20 
> А если ты отвлечешься, то оно будет продолжать работать
> Хости свой инстанс у себя в локалке или на VPS, но доступным
> только по VPN

При таком подходе мне надо возиться с прокидыванием ключей доступа к vpn всем заинтересованным. И не только мне, всем остальным тоже надо возиться с vpn и этими ключами. Это уже накладные расходы, которые выплёскиваются через край и размазываются по всем остальным. Это накладные расходы, которые требуют от меня организационных талантов. Брр...

> У меня мой личный инстанс gitea работает на домашней RPi4+ исполняющей так
> же и роль десктопа, когда мне нужно из других мест с
> ноута, то доступен через VPN, наружу не светит.

Я не вижу смысла в личном инстансе gitea. Совершенно не вижу. Для личных целей хватит sshd. Кроме того, можно даже не связываться с выставленным наружу с домашнего компа sshd, можно реп таскать с собой на ноуте.

> Ну и узнай про всякие автообновления, что ли.

Не хочу. Автообновления -- это когда вообще в любой момент всё может перестать работать.

Ответить | Правка | Наверх | Cообщить модератору

200. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от hefenud (ok), 15-Авг-21, 00:01 
> Я не вижу смысла в личном инстансе gitea

Нужно исходить из того, что публичный сервис может прекратить существование и при этом внезапно
У меня все мои проекты живут и дома на gitea, и на github'е. Между ними синхронизация.
В случае если кто-то перегрызет трансатлантические кабели и собъет спутники у меня есть моя гитеа и доступ к ней всем кому он необходим по эту сторону океана. А так я работаю с домашним сервером, остальные с гитхабом

Ответить | Правка | Наверх | Cообщить модератору

203. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Ordu (ok), 15-Авг-21, 00:43 
>> Я не вижу смысла в личном инстансе gitea
> Нужно исходить из того, что публичный сервис может прекратить существование и при
> этом внезапно
> У меня все мои проекты живут и дома на gitea, и на
> github'е. Между ними синхронизация.

Я знаю об этом, и оцениваю риски. И считаю, что для тех проектов, которые есть у меня, это не критично. В том смысле, что овчинка выделки не стоит. По теории игры: вероятность потерять всё, помноженная на стоимость этой потери меньше, чем вероятность не потерять, помноженная на стоимость поддержания gitea.

Я говорю ж, я неадекват, даже когда я мыслю качественно, у меня в голове пляшут количественные математические формулы, указующие мне, что и с чем надо сравнивать.

> В случае если кто-то перегрызет трансатлантические кабели и собъет спутники у меня
> есть моя гитеа и доступ к ней всем кому он необходим
> по эту сторону океана.

Эмм... Мне интересно, чтобы к моим проектам доступ был бы именно по ту сторону окияна. По эту сторону желающих мало. Что не удивительно, потому что основная масса, интересующихся разработкой just for fun находится именно там.

Ответить | Правка | Наверх | Cообщить модератору

149. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Анонимemail (149), 13-Авг-21, 22:07 
Я вот не пойму. Народ орёт про ключи. Так ключ публичный будет в гитхабе, а приватный у тебя на компьютере в укромном местечке с правильными правами. И кто там что перебирать собирается?
Пароль легче угнать чем ключ, а тем более подобрать. Если не можете обеспечить безопасность приватного ключа (мозгов много не надо) , то это ваши проблемы.
Ответить | Правка | Наверх | Cообщить модератору

166. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (163), 14-Авг-21, 07:59 
>... приватный у тебя на компьютере в укромном местечке с правильными правами.
>...
> Если не можете обеспечить безопасность приватного ключа (мозгов много не надо) , то это ваши проблемы.

Так ведь и ты не можешь, хотя и думаешь иначе.

Ты просто "неуловимый Джо", поэтому до твоего "укромного местечка с правильными правами" никому пока нет дела.
"Правильные права" - это вообще защита от добрых людей. Типа, как копеечный китайский замок на почтовом ящике.

> Пароль легче угнать чем ключ

А вот это не факт.

Ответить | Правка | Наверх | Cообщить модератору

181. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от hefenud (ok), 14-Авг-21, 14:53 
Чувак, давай я тебе дам свой приватный ключ, а ты попробуешь что-то с ним сделать
Ничего у тебя не выйдет, ведь он с паролем(пароль вводится мной один раз и далее работает ssh-agent)

Ответить | Правка | Наверх | Cообщить модератору

191. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (163), 14-Авг-21, 17:00 
> ...приватный ключ...
> ...с паролем

Ломается брутфорсом этот пароль. У меня таких вычислительных ресурсов нет, но у "кого надо" они есть.

> ... пароль вводится мной один раз и далее работает ssh-agent

, который хранит ключи в памяти незашифрованными.

Это ещё одно место, через которое можно достать твой приватный ключ.
Здесь и вот эти Мелтдауны со Спектрами могли бы пригодиться.

>  Чувак, давай я тебе дам свой приватный ключ, а ты попробуешь что-то с ним сделать

Ты просто такой же "неуловимый Джо", как и анон, которому я отвечал выше.

Сам я, как здесь уже писал, тоже использую запароленные ключи, но пароль от ключа ввожу каждый раз, тем самым исключая ssh-agent из цепочки, т.е. уменьшая поверхность возможной атаки.
И при всём при этом я не считаю такую схему малоуязвимой, успокаивая себя тем, что я тоже "неуловимый Джо".

Ответить | Правка | Наверх | Cообщить модератору

193. "GitHub запрещает парольную аутентификацию при доступе к Git "  +/
Сообщение от Аноним (136), 14-Авг-21, 17:42 
> Здесь и вот эти Мелтдауны со Спектрами могли бы пригодиться.

Проще через дырявый драйвер с блобами для wifi, bluetooth взломают, которые светят постоянно в неизвестное пространство.

Ответить | Правка | Наверх | Cообщить модератору

192. "GitHub запрещает парольную аутентификацию при доступе к Git "  –1 +/
Сообщение от Аноним (136), 14-Авг-21, 17:12 
> приватный ключ
> с паролем

Пароль спрошу у админа гитхаба, возьму с утекших баз с паролями, просто взломаю.

Ответить | Правка | К родителю #181 | Наверх | Cообщить модератору

150. Скрыто модератором  –1 +/
Сообщение от Аноним (150), 13-Авг-21, 22:09 
Ответить | Правка | Наверх | Cообщить модератору

162. Скрыто модератором  –3 +/
Сообщение от Аноним (162), 14-Авг-21, 04:31 
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру