The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

GitHub объявил о внедрении в следующем году всеобщей двухфакторной аутентификации

16.12.2022 09:49

GitHub анонсировал перевод на обязательную двухфакторную аутентификацию всех пользователей, публикующих код на GitHub.com. На первом этапе в марте 2023 года обязательная двухфакторная аутентификация начнёт применяться для отдельных групп пользователей, постепенно охватывая всё новые и новые категории.

В первую очередь изменение затронет разработчиков, публикующих пакеты, OAuth-приложения и GitHub-обработчики, формирующих релизы, участвующих в разработке проектов, критически важных для экосистем npm, OpenSSF, PyPI и RubyGems, а также вовлечённых в работу над четырьмя миллионами самых популярных репозиториев. До конца 2023 года GitHub намерен полностью запретить для всех пользователей возможность отправки изменений без применения двухфакторной аутентификации. По мере приближения момента перевода на двухфакторную аутентификацию пользователям будут направляться email-уведомления и выводиться предупреждения в интерфейсе.

Новое требование позволит усилить защиту процесса разработки и обезопасить репозитории от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. По мнению GitHub получение злоумышленниками доступа к репозиториям в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка скрытых изменений в популярные продукты и библиотеки, используемые в качестве зависимостей.

Предоставляется возможность выбрать один из нескольких вариантов для добавления второго источника проверки подлинности в учётную запись. Для двухфакторной проверки подлинности можно использовать мобильное приложение или SMS. Также можно добавить ключ безопасности. При этом в качестве приоритетного варианта для двухфакторной проверки подлинности рекомендуется использовать приложение, создающее одноразовые пароли с ограниченным сроком действия (TOTP). Приложения TOTP, такие как Authy, Google Authenticator и FreeOTP, обеспечивают большую защиту по сравнению с SMS-сообщениями, особенно за пределами США, а также поддерживают опцию для безопасного резервного копирования кодов проверки подлинности в облачном хранилище, которые можно восстановить в случае потери доступа к устройству.

Дополнительно можно отметить начало предоставления всем пользователям публичных репозиториев на GitHub бесплатного сервиса по отслеживанию случайной публикации конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. Всего реализовано более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов. До конца января возможность будет доступна только для участников программы бета-тестирования, после чего сервисом смогут воспользоваться все желающие.

  1. Главная ссылка к новости (https://github.blog/2022-12-14...)
  2. OpenNews: В NPM включена обязательная двухфакторная аутентификация для сопровождающих значимых пакетов
  3. OpenNews: Анализ утечек конфиденциальных данных через репозитории на GitHub
  4. OpenNews: GitHub реализовал поддержку токенов для предоставления выборочного доступа
  5. OpenNews: GitHub реализовал возможность упреждающей блокировки утечек токенов к API
  6. OpenNews: GitHub опубликовал статистику за 2022 год и представил программу грантов открытым проектам
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58335-github
Ключевые слова: github, 2fa
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (163) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, КО (?), 09:51, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "пользователей, публикующих код"
    выдыхаем
     
     
  • 2.142, Аноним (142), 22:49, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну окей. Есть гитлаб. А если что можно и свой гитлаб поднять.
     
     
  • 3.208, Аноним (208), 04:17, 18/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    * Опубликовать код на GitHub
    * Поднять свой GitLab.

    Ну, ваще накакой разницы...

     
     
  • 4.212, Аноним (212), 21:27, 18/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    За гитлаб не скажу, но Gitea поднимается одним контейнером
     

  • 1.2, Аноним (2), 09:53, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Корпорации как всегда в своем стиле, насильно и безальтернативно внедряют то о чем их не просили
     
     
  • 2.8, Аноним (8), 10:05, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –6 +/
    А то ты так хотел себе в колено выстрелить...
     
  • 2.35, Аноним (35), 12:27, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну а что - сбой у провайдера -> нет SMS -> нет сабжа. Причем в последнее время описанная ситуация - норма. В Сбере и у МТС, бывают, SMS о покупках приходят сразу пачкой часа через 2-3. Еле убрал ее с Госуслуг, к которым был привязан корпоративный аккаунт для входя в ГИС.
     
     
  • 3.36, tema (??), 12:32, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Использовать 2FA через SMS!? - не смеши ))
     
  • 3.61, Аноним (61), 14:47, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >нет SMS -> нет сабжа

    А отправку SMS в РФ гитхаб и не поддерживает https://docs.github.com/en/authentication/securing-your-account-with-two-facto

     
  • 3.83, leap42 (ok), 17:22, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ох уж эти эксперты opennet 🤣🤣🤣

    Там приложеньку надо настраивать или ключ аппаратный. СМС только fallback и не для всех стран. Пруф - сейчас настраивал себе.

     
     
  • 4.140, fuggy (ok), 22:36, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Фолбек фолбеком, но иметь резервный режим надо, на случай если приложение потеряешь. Или хотя бы на чеке одноразовые коды распечатать, благо гитхаб это умеет.
     
     
  • 5.193, Аноним (193), 14:38, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >если приложение потеряешь

    А не легче настроить двухфакторную аутентификацию TOTP в KepassXC? Вы же знаете что это и пользуетесь этим? Правда? Айтишники же не хранят пароли в браузере или таблице?

     
     
  • 6.213, Аноним (212), 21:28, 18/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хранить второй фактор вместе с первым, ммм, вкутна
     
  • 4.147, Без аргументов (?), 00:15, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какая разница, через трояна или номер слить?
     
  • 4.192, Аноним (193), 14:35, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Там приложеньку надо настраивать
    >приложеньку надо
    >приложеньку

    Эта приложенька TOTP KeepassXC?

     
  • 3.156, Аноним (156), 01:48, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    sms в качестве второго фактора - это худшее, что можно придумать

    во всех вменяемых местах есть totp

     
  • 3.157, Kuromi (ok), 01:50, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    SMS? А ничего что там TOTP...?
     
  • 2.85, leap42 (ok), 17:28, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Корпорации как всегда в своем стиле, насильно и безальтернативно внедряют то о чем их не просили...

    ... в свой продукт вообще-то. Они никого не заставляют им пользоваться.

     

  • 1.4, Аноним (4), 09:57, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А куда вы денетесь с подводной лодки?! Дешевле и полезнее ведь новый телефон купить, чем Дрю де Волту за подписку платить.
     
     
  • 2.26, Аноним (26), 11:59, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > чем Дрю де Волту за подписку платить

    можно подробнее

     
     
  • 3.167, Аноним (167), 02:44, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    https://meta.sr.ht/register/step2
     
  • 2.32, КО (?), 12:11, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А причем здесь телефон, паспорт то у тебя всё равно один.
     
     
  • 3.186, Вы забыли заполнить поле Name (?), 13:32, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А причем здесь телефон, паспорт то у тебя всё равно один.

    Может у него симка на Ашота зарегана?

     

  • 1.6, Аноним (4), 10:00, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Users who created a release

    То есть почти все. Релиз создаётся автоматически при создании метки с именем, похохим на версию.

     
  • 1.9, Аноним (9), 10:15, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Все уходите к Github, друзья.
     
     
  • 2.25, Вы забыли заполнить поле Name (?), 11:58, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Давно пора. Особенно после внедрения пилотки.
     
     
  • 3.185, Аноним (185), 12:25, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ой как у копирастов подгорает от сопилота
     

  • 1.12, Аноним (12), 10:22, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Честно, в гитхаб через раз для логина нужно переть на почту и подтверждать, что я - это я, уже в кишках сидит. Теперь к этому добавят двухфакторку и как этим пользоваться тогда?


    Когда сервис ломает руки и требует обязательно 2FA, это хороший знак того, что пора искать альтернативу. Хорошо, что это не проблема, свободных гит-репозиториев немало.

     
     
  • 2.13, Аноним (13), 10:28, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    На Codeberg пойдёшь? Или на framagit? На эти репозитории непонятных васянов, которые существуют не пойми за счёт чьего финансирования, и которые может быть, для того и затевались, чтобы код на себя оттягивать, а потом в него бэкдоры вставлять, когда IP-адрес скачивающего правильный, например адрес сборочных серверов крупного дистра?
     
     
  • 3.15, Аноним (15), 10:48, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    gitlab ?
     
     
  • 4.19, Аноним (19), 11:26, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Насмешил : )
     
  • 4.165, Аноним (167), 02:42, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это параша похуже GitHub. Пруф: https://gitlab.com/cdn-cgi/challenge-platform/h/g/orchestrate/jsch/v1
     
  • 3.62, Аноним (62), 14:54, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Microsoft-то, конечно, заслуживает доверия (нет).
     
     
  • 4.74, Аноним (74), 16:35, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Майкам есть что терять, а васянов никто не вспомнит.
     
     
  • 5.109, Аноним (61), 19:02, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Майкам есть что терять

    Так они не против потерять свободный код. Они же предпочитают проприетарщину.

    >а васянов никто не вспомнит.

    Все когда-то были "васянами" — и Гейтс, и Торвальдс. Если всех "васянов" давить на корню в угоду "проверенным временем" корпорациям, то человечество останется без инноваций. Копропасты - это бюрократия, DRM, долгие патенты, которые плохо совместимы с прогрессом.

     
  • 5.148, Без аргументов (?), 00:17, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Они придумают такую историю, что еще их адепты защищать будут как святых
     
  • 3.89, Аноним (89), 17:41, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ipfs, gittorrent
     
     
  • 4.217, анон (?), 16:06, 19/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    nat пробивает?
     
  • 3.120, Аноним (120), 20:17, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Git писался для линукс кернел девелоперов и гитхаб им был не нужен, ровно как и сейчас. Никто не запрещает расширить свои горизонты в сторону "от ненужного", и даже помимо git есть более вменяемые VCS. Пользуйся.
     
  • 3.141, fuggy (ok), 22:42, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А какие есть варианты?
    Bitbucket та ещё помойка. На Savannah идти? Свой хостинг Gitea поднимать?
     
  • 2.14, Аноним (13), 10:38, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >в гитхаб через раз для логина нужно переть на почту и подтверждать, что я - это я

    Экспериментально установлено, что это - когда IP-адрес меняется. А у некоторых жёлто-полосатых провайдеров такой дефицит IPv4 адресов, что 2 разных HTTP-запроса с разницей в несколько секунд могут иметь разные IPv4-адреса, из-за чего при необходимости бана одного пользователя, его банят подсетями вместе со всеми остальными пользователями из этой подсети. При этом эти провайдеры даже не собираются переходить на IPv6. Не собираются переходить на IPv6, Карл! В 2022 году! Надо менять провайдера. Что думаете о STARLINK (на масковском, а московском).

     
     
  • 3.90, Аноним (89), 17:42, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >а московском

    Это ростелеком.

     
     
  • 4.164, Аноним (167), 02:38, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо. Никогда бы не догадался сам. А пруфы есть? Я погуглил, вроде не нашлось ничего.
     
  • 3.117, SilverCutePony (ok), 19:54, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Компьютерный у меня именно Билайн, к сожалению, но могу сказать про IPv6 в мобил... большой текст свёрнут, показать
     
  • 3.132, Реальный пацан (?), 21:43, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    IPv6 - это дрисня ещё так. Overengineered - потому ни разу никто не спешит переходить.
     
  • 2.21, Admino (ok), 11:39, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Ещё надо понимать, что больше количество пользователей вообще не пишет код, а ходит на гитхаб, чтобы оставить сообщения об ошибках.

    Теперь они не будут так делать.

     
  • 2.88, Аноним (88), 17:40, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Который раз поражаюсь: почему у опеннетчиков не работают даже самые базовые вещи? Вечно то не качается, то забанено, то вот теперь почту подтверждать надо. Вы там что, сидите за провайдеским натом на одном айпишнике все?
     
     
  • 3.180, Аноним (180), 11:13, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Именно так.
     
     
  • 4.200, Аноним (88), 19:31, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что мешает подключиться к провайдеру с публичными айпи? Только не говори, что со времён районных локалок такие не появились.
     
  • 2.158, Аноним (156), 01:52, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    с включенным 2fa ни на какую почту ходить не просит

    учитывая последствия, которые несёт за собой подбор пароля к учетке автора популярного репозитория, это вполне вменяемые действия

    потому что это массовый сервис

    не устраивает их политика, всегда можно поднять на своём сервере какой-нибудь gogs

     

  • 1.17, Об вас пекчусь (?), 11:18, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Наконец‐то дождались!
    Но не нужно останавливаться на полумерах. Нужно сразу через гопуслуги со всей биометрией и сертификатом о том, шо ты правильный.
     
     
  • 2.30, Аноним (30), 12:10, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это в гитфлик сказали же уже.
     
     
  • 3.149, Без аргументов (?), 00:19, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Лжец
     

  • 1.18, Аноним (18), 11:24, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    не логинюсь, когда всплывает окошко для кода из email-а
     
  • 1.20, Аноним (20), 11:39, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Круто. Вот так настроишь двухфакторку по номеру телефона +7 или по почте в домене ru, а потом однажды твой аккаунт заблокируют без возможности восстановления или удалят нафик, потому что "рожей не вышел".
     
     
  • 2.22, Аноним (22), 11:53, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://gitflic.ru/auth/signup
     
     
  • 3.93, Аноним (93), 17:55, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какой-то подвох, не через Госуслуги и без биометрии :-S
     
  • 2.29, Аноним (30), 12:10, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Какая проблем просто взять и выйти рожей не понятно.
     
  • 2.33, Аноним (33), 12:15, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Леонид Юрьев, перелогиньтесь пожалуйста
     
     
  • 3.45, Аноним (20), 13:11, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не знаю, кто такой Леонид Юрьев. Просто вспомнил, как нашу компанию без предупреждения вышвырнули из Slack.
     
     
  • 4.91, Аноним (88), 17:43, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Законы штука такая, не будешь выполнять — выкинут.
     
     
  • 5.94, Аноним (93), 17:57, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Наоборот, вкинут и n лет не выпустят.
     
  • 5.110, Аноним (110), 19:10, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    О чем ты? Наша компания не нарушала законы.
     
     
  • 6.172, Аноним (88), 05:30, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот и Slack тоже решил не нарушать.
     
     
  • 7.178, Аноним (20), 08:59, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой закон нарушал Slack, предоставляя платные услуги небольшой коммерческой фирме из России? Потом-то понятно какой: нарушил условия договора, удалил учетки, украл деньги, это мошенничество. Когда вернется на российский рынок, надеюсь, выхватит коллективный иск.
     
     
  • 8.181, К.О. (?), 11:40, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Лет через десять до тебя дойдет, что не так с этим утверждением ... текст свёрнут, показать
     
     
  • 9.184, Аноним (184), 12:22, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой ужас, неужели мне столько ждать придётся ... текст свёрнут, показать
     
  • 9.187, Вы забыли заполнить поле Name (?), 13:36, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Либерахи как обычно палятся ... текст свёрнут, показать
     
     
  • 10.221, К.О. (?), 09:35, 01/04/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Какая разница, либерахи или не либерахи, нет никаких либерах Есть объективная д... текст свёрнут, показать
     
  • 8.198, Аноним (88), 19:28, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Закон о санкциях, который им прямо запретил работать с российской компанией Ког... текст свёрнут, показать
     
     
  • 9.205, Аноним (110), 22:44, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Што ты несешь Ни один закон о санкциях не распространялся на Слэк Это чисто их... текст свёрнут, показать
     
  • 3.80, Аноним (110), 16:56, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >пока работает
    >как отвалится - есть способы

    Надежды юношей питают. :)

    >Ну и что мешало гитхабу поудалять нафиг всех своих пользователей раньше, умник?

    Во-1, не хами. Во-2, ИТ-компании не все сразу ушли, это процесс. Из свежего: https://habr.com/ru/news/t/705234/
    Так что еще не вечер, как говорится.

     
     
  • 4.207, Аноним (207), 02:16, 18/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не понимаю, из-за чего весь сыр-бор, если для роутеров Meraki есть OpenWRT.
     
  • 2.92, Аноним (89), 17:44, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >двухфакторку по номеру телефона +7 или по почте в домене ru

    Для полного счастья желательно ещё, чтобы они же были привязаны к госуслугам. И чтобы пароли совпадали.

     

     ....большая нить свёрнута, показать (19)

  • 1.23, Аноним (61), 11:54, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >обязательную двухфакторную аутентификацию всех пользователей

    То есть теперь для опубликования своего кода на гитхабе всем нужно будет обязательно иметь следящий маячок/зонд под названием "смартфон"? Сволочи!

     
     
  • 2.28, Аноним (30), 12:09, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Только не говори что ты знал что так будет когда майки купили гитхаб. Все об этом знали и просто случилось то что должно было случится.
     
  • 2.31, Хру (?), 12:11, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    OTP так то и на компе работает.
     
     
  • 3.34, Аноним (61), 12:26, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого комп должен быть оснащен специальным устройством-считывателем, которое дорого стоит и для которого должны быть рабочие драйвера. Не вариант.
     
     
  • 4.38, tema (??), 12:37, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    не нужно никакое специальное устройство-считыватель, просто в приложение копируешь секретный ключ который тебе сайт выдает..
     
     
  • 5.41, Аноним (61), 12:41, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    В какое приложение?
     
  • 5.42, Аноним (61), 12:51, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Приложение из недоступных в РФ AppStore и Google Play Market?
     
     
  • 6.52, Хру (?), 14:21, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Например, такое: https://poolpog.github.io/bash-otp/ ну или https://www.cyberciti.biz/faq/use-oathtool-linux-command-line-for-2-step-verif

    oathtool есть почти во вчех правильных дистрах!

     
     
  • 7.54, Хру (?), 14:23, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А то что подумал аноним номер 30, то называется usb-token типа nitrokey. Удобная штука если сопровождаешь пакеты постоянно но деняк стоит.
     
     
  • 8.102, Аноним (88), 18:14, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да ерунду оно стоит, не выдумывай Если ты постоянно пакеты сопровождаешь, то на... текст свёрнут, показать
     
     
  • 9.118, Хру (?), 19:54, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Дак я о сумме ничего не говорил Просто упомянул, что оно платное А по ценам кл... текст свёрнут, показать
     
     
  • 10.123, Аноним (88), 21:10, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Интернет тоже платный, чего ж не упомянул ... текст свёрнут, показать
     
     
  • 11.137, Хру (?), 22:13, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ага И электричество И амортизация оборудования И мое время тоже ... текст свёрнут, показать
     
     
  • 12.199, Аноним (88), 19:29, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Всё так, кроме времени Твоё время ничего не стоит, иначе бы ты не тратил его на... текст свёрнут, показать
     
  • 7.66, Аноним (66), 15:11, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > oathtool есть почти во вчех правильных дистрах!

    Это тот oathtool, который сам для работы требует слить ему телефонный номер?!

     
     
  • 8.99, Аноним (61), 18:05, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не, эта тулза одноразовый код для логина генерит на основе выданного гитхабом кл... текст свёрнут, показать
     
  • 7.97, Аноним (61), 18:02, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >oathtool

    Проверил. Работает. Ну хоть что-то, а не сраный смартфон.

     

     ....большая нить свёрнута, показать (16)

  • 1.27, Аноним (30), 12:09, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ахаха т.е. мяу допрыгались от радости что майки друг опенсорса. Нате распишитесь.
     
     
  • 2.37, Аноним (37), 12:33, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Съедят и это.
     
     
  • 3.162, Вебмакака (?), 02:28, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, и тут еще поминусуют и потроллят, луддитами обзовут
     

  • 1.39, Аноним (39), 12:40, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    3rd party сервисы, СМС-ки, гугол и т.д. не нужны. Хранить и генерировать TOTP коды можно через FreeOTP на android или OTPClient на Linux
     
     
  • 2.51, Kirikekeks (ok), 14:18, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О, первый ответ который я розумею. Откуда все эти мэйлы, мессенджеры и смс выше? Все что надо для генерации кода по времени, это точно настроенное время на клиенте и вот эти приложения.
     
     
  • 3.64, penetrator (?), 15:07, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а нахер нужен этот OTP? если ты хранишь его на компе? кто мешает хранить тебе на компе случайный рандомный пароль, с нормальной энтропией, а не linuzpassword

    кто мелкософту мешает сделать это опцией?

    не нравится мне это ж-ж-ж

     
     
  • 4.67, _kp (ok), 15:31, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Затем, что ОТР можно подделать, и потом не мог доказать, что это не сам пользователь сделал какие то действия.
    Для того же и электронные подписи.
     
  • 4.71, Kirikekeks (ok), 16:27, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > а нахер нужен этот OTP? если ты хранишь его на компе? кто
    > мешает хранить тебе на компе случайный рандомный пароль, с нормальной энтропией,
    > а не linuzpassword
    > кто мелкософту мешает сделать это опцией?
    > не нравится мне это ж-ж-ж

    Так я же дегенерат, мне 20 символов рандома не запомнить никогда. 6 максимум +totp связка надежная. Есть надежда, что первую часть без паяльника не узнать, а вторая переменная, без первой, вопервых, тоже за минуту раскрыть и ввести это очень сложно, а во вторых смысла нет. Вот кстати подсмотренный пароль, или подслушанный тоже не дают простого длступа.

    Как всегда, кто первым нагнет, тот и будет счастлив, потому как иметь 150 totp я точно не буду, и гитхаб рвется в тройку на моих устройствах.

     
     
  • 5.79, Аноним (37), 16:46, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Пароль у юзера хранится в голове, а на серверах - в виде хэша. TOTP подразумевает хранение секрета на устройстве пользователя, которое само по себе может быть скомпрометировано. Концептуально это тот же блокнотик с паролями, разве что не связанное напрямую с устройством, на котором происходит ввод. Или связанное - если авторизация выполняется прямо на мобильном устройстве, либо OTP установлено на десктоп. TOTP нельзя использовать с несекурными паролями!

    Запомнить 20 символов можно и очень просто. Придумываешь какое-нибудь предложение из исковерканных слов, вроде "глокая куздра" и готово. 4-5 слов запомнить очень легко.

     
     
  • 6.100, Аноним (88), 18:06, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты бы ссылки на исследования привёл, что ли. А то нафантазировал два абзаца, да всё по мотивам шёпота в своей же голове.
     
  • 6.111, Poulch (?), 19:34, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    про хеши на серверах я сильно не уверен. Иначе как вся эта ругань идет, что новый пароль слишком похож на старый... Я задолбался придумывать каждый месяц на сайте микрософта и ряде других солидных контор...
     
  • 6.143, fuggy (ok), 22:52, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Суть TOTP и всей F2A не в слабом пароле. А в том что они должны должны быть на физически разных устройствах, иначе это фикция. Чтобы когда у тебя украли первое устройство, не смогли войти не имея второго. Это тоже самое как писать пинкод на обороте кредитки. А какое устройство имеют большинство и никогда с ним не расстаются, правильно смартфон.
     
     
  • 7.161, Аноним (167), 02:26, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, вот только захожу я на гитхаб в половине случаев с телефона. Ломанут телефон - никакой второй фактор не поможет. Накроется телефон - потеряю аккаунт совсем. Нахрен мне это?
     
  • 7.169, penetrator (?), 05:07, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а если у тебя FDE и ты сам предпочитаешь обеспечивать безопасность локалхоста?

    или у тебя сел телефон, а тебе срочно нужно зайти что-то сделать, а OTP в трубе или ты его просто пролюбил?

    почему это не опция? почему если я могу обеспечить безопасный вход ТОЛЬКО с применением пароля без второго фактора, меня обязывают делать по-другому? накой черт такой сервис?

    уже сколько раз говорили что мелкософт идет не туда, вопрос что будут делать пользователи гитхаба? вроде же не домохозяйки в большинстве своем SCM используют, хотя может и схавают как всегда

     
  • 7.196, Аноним (196), 18:52, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "А какое устройство имеют большинство и никогда с ним не расстаются, правильно смартфон."
    У некоторых он на полочке лежит для тех случаев когда нужно принять смс с кодом и нельзя от такой опции отказаться.
     

  • 1.43, Аноним (43), 13:07, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Под благовидной маской МыкроЗофта выглянуло свиное рыло.
    В 2024 году вход будет по чипу в руке (для вашей безопасности).
     
     
  • 2.154, Вебмакака (?), 00:36, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как будто это что-то плохое. Ня!
     
  • 2.160, Аноним (167), 02:24, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Там благовидной маски никогда и не было. GitHub был за бабло куплен, а не за обещания быть белыми и пушистыми.
     

  • 1.48, Аноним (48), 13:51, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я не понимаю, местные анонимы, вы про TOTP вообще ничего не слышали? А если и слышали, то только что его можно использовать в Google Authenticator? Реализуется в 30 строчек кода, можете хоть на Bash написать себе свой уникальный и неповторимый генератор кодов.
     
     
  • 2.53, Аноним (61), 14:23, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Я не понимаю, местные анонимы, вы про TOTP вообще ничего не слышали?

    Только плохое. Создает дополнительные неудобства и требует небезопасный смартфон.

    >можете хоть на Bash написать

    Ты - теоретик. А на практике все OTP прибивают гвоздями к зондосмартфону.

     
     
  • 3.63, Анонус (?), 15:03, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а ты сам к зондосмартфону гвоздями не прибит?
     
     
  • 4.70, Аноним (61), 16:22, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня его вообще нет.
     
  • 3.75, Аноним (75), 16:35, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты дурак или прикидываешься?
    https://github.com/keepassxreboot/keepassxc/tree/develop/src/totp
     
  • 3.98, Аноним (88), 18:03, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну давай, расскажи про практику. Что там в TOTP конкретно у смартфону прибито? Можешь сразу с ссылкой на RFC.
     
     
  • 4.101, Аноним (61), 18:12, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Всё, я уже с работой oathtool разобрался, которую тут выше посоветовали. Работает без смартфонного шлака.
     
  • 4.108, Аноним (61), 18:36, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну давай, расскажи про практику.

    На практике везде требуют "mobile app" или sms.

    >Можешь сразу с ссылкой на RFC.

    Не, лучше это почитай https://docs.github.com/en/authentication/securing-your-account-with-two-facto

     
     
  • 5.124, Аноним (88), 21:17, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Прочитал. Ни одного слова про то, что для TOTP необходима мобила. На практике невозможно проверить, чем сгенерирован TOTP. Хорош маневрировать.
     
     
  • 6.133, Аноним (61), 21:51, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Прочитал. Ни одного слова про то, что для TOTP необходима мобила.

    Что у тебя со зрением? Очки протри. Ну или окулисту сходи. Или это у тебя такой троллинг тупостью?

     
     
  • 7.174, Аноним (88), 05:34, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну приведи цитату, где написано, что нужна мобила. Серьёзно.
     
  • 5.144, fuggy (ok), 23:02, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле сильно бесят сервисы, которые привязываются к конкретным приложениям. Например Authy или Duo Security, которые требуют привязывать номер телефона. И какой бы там не был настоящий TOTP по RFC под капотом, там действительно используется TOTP. Но сервис тебе не даст код, которые ты сможешь вставить в FreeOTP. В этом главная проблема.
    Гитхаб в этом смысле не такой.
     
  • 2.65, penetrator (?), 15:10, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а зачем?

    зачем создавать проблему, чтобы потом с апломбом ее решать?

    если у тебя локалхост дырявый то тебе никакой OTP не поможет

    а если у тебя пароль адекватный рандомный длинной 20+, и хранится надежно, то зачем тебе лишний источник проблем?

     
     
  • 3.86, Аноним (75), 17:38, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > а зачем?

    Сгорел сарай - гори и хата. См. "Вектор атаки".

    > если у тебя локалхост дырявый

    А если нет?
    А если пароль просто перехватили?
    А если пароль сбросил злонамеренный сотрудник твоего почтового провайдера?
    А если ...?

     
     
  • 4.170, penetrator (?), 05:17, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а если у тебя локалхост не дырявый, то ты можешь записать пароль в текстовый фай... большой текст свёрнут, показать
     
     
  • 5.197, Аноним (197), 19:14, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Пароль можно подсмотреть из-за спины Куки не перехвачен У подсмотренного кода ... большой текст свёрнут, показать
     
     
  • 6.218, penetrator (?), 22:55, 19/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    что с тобой разговаривать, если ты читать не умеешь

    пароль у него из-за спины подсмотреть могут

    т.е. у кулхацкера еще и физический доступ к твоей машине есть? )))

    векторы атаки, угу, ля ля

     
  • 2.78, Аноним (75), 16:41, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Сперва тоже подумал, что комментарии на Опеннет захватили идиоты. Но потом присмотрелся и обнаружил, что 99% бреда про TOTP генерируется одним единственным Анонимом (61). Видать, какой-то ребёнок порвался, что отобрали любимую конфету.
     
  • 2.204, ЪУЪнеЪУЪ (?), 22:40, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Местные анонимы те еще дегроды, KepassXC ведь для людей, а не дял овощебазы, вот они и не знают. А паролики хранят в тхт файлике, в запароленом 7z архивчике пароль от которого не меняется с 2010 года.
     

  • 1.77, Максим (??), 16:38, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    GitHub не нужен. Храните проекты на своих собственных сайтах, чтобы не плясать под чужую дудку.
     
     
  • 2.125, Аноним (88), 21:18, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отключайся от интернета, чтобы не плясать под дудку провайдера.
     
     
  • 3.150, Без аргументов (?), 00:29, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Демагог мамкин
     
     
  • 4.201, Аноним (88), 19:36, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну давай тогда без демагогии расскажи, как независимо подключиться к интернету и независимо в нём хостить что-нибудь. Начни с независимой регистрации подсети, чтобы под дудку RIR не плясать. Потом обсудим независимые IX, независимый пиринг и другие кошерные вещи.
     
  • 3.202, Аноним (207), 19:49, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Отключайтесь от Вселенной, чтобы не плясать под дудку Дьявола с его Вторым началом.
     
  • 3.216, Максим (??), 13:42, 19/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я провайдеру плачу, поэтому в праве требовать от него, если меня что-то будет не устраивать.
     
     
  • 4.219, Аноним (88), 18:31, 20/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А провайдер в праве отказать тебе от предоставления услуги и отправить платить в другое место. Особенно актуально в твоей деревне, где провайдер всего один.
     
     
  • 5.220, Максим (??), 18:44, 20/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший провайдер клиентами не разбрасывается, а плохой нафиг не нужен. А выбор всегда есть.
     

  • 1.82, Аноним (82), 17:20, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Следующий этап - обязательное ношение подгузников.

    Очень много случаев недержания у людей, так что это для нашей же безопасности.

     
     
  • 2.96, Аноним (93), 18:01, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А лучше двухфакторная защита - подгузники и впитывающие трусы.
     
     
  • 3.166, Аноним (166), 02:42, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    И смартфон с функцией стирки ультразвуком подобных трусов на подогреве от аккумулятора смартфона.
     

  • 1.87, Аноним (89), 17:40, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Предлагаю двухфакторную аутентификацию такого плана:
    первый фактор - пароль или ключ SSH
    второй фактор - подпись PGP
     
     
  • 2.126, Аноним (88), 21:18, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Начинай реализовывать! Как реализуешь — сразу же внедряй!
     

  • 1.95, Аноним (88), 17:59, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Какая-то перепись инфантилов, которые думают, что им все должны, что 2FA это коды по смс и почте, а про RFC6238 не слышали вообще. Экспертиза опеннет, который мы заслужили.

    Майкрософт всё правильно делает. Я бы ещё для публичных опенсорс-проектов с >10 разработчиков ввёл безальтернативное требование хардварных токенов и подписи коммитов в main. Обезьяны, которым наплевать на безопасность своего проекта и его пользователей пусть к Дрю в его загон для фриков перебираются.

     
     
  • 2.105, Аноним (61), 18:27, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Майкрософт всё правильно делает.

    Обязаловка для ВСЕХ - это не правильно. Обезьяны, которые дрочат на двухфакторку и хардварные токены пусть перебираются в загон к криптошизикам.

     
     
  • 3.128, Аноним (88), 21:21, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А обязаловка логин и пароль вводить нигде не жмёт? Может HTTPS поджимает где-нибудь, нет? На Гитхабе мёдом не намазано и никто не заставляет им пользоваться. И локалхост у тебя тоже никто не отбирает.
     
     
  • 4.159, Аноним (167), 02:22, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мои программы хоть мёдом и намазаны, но лицензию читать надо. А там написано AS IS, если не нравится, что у меня нет 2FA - не используй мою програмы и либы. Если M$ так заботится о безопасности, то могла бы просто плашку вывести, что у меня нет 2FA, добро пожаловать страшные хакеры, пойдите попробуйте взломайте этого чела, у него видите-ли 2FA нет.

     
  • 3.134, Аноним (166), 22:07, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно. Всякие раки с Авито уже посланы в лес. Эти твари ещше и лгут нагло мол типа ничего не знаем вы сами врубили двухфакторную аутентификацию в аккаунте без номера телефона прибитого гвоздями. Как будто все сидят на смартфонах когда можно иметь проводной интернет и общаться по телеге какой-нибудь с компа потому как уроды покоя не дадут даже поздно вечером когда им надо.
     
  • 3.145, fuggy (ok), 23:23, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Всё правильно делают. Они же не хотят чтобы на них пеняли как на npm. Где тоже недавно ввели двухфакторку. А то до этого сопровождающие пакетов на миллионы скачиваний имели пароль уровня 1234 и всем было норм.
     
     
  • 4.171, penetrator (?), 05:21, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ага т.е проблемы дегенератов с паролями 1234 будут решаться за счет адекватных мейнтенеров?
     
  • 2.151, Без аргументов (?), 00:32, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Инфантилы это те, которые слепо и безответственно кушают очередные клетки и прочие crates.io.
    Криптофашист какой-то.
     

  • 1.116, Аноним (116), 19:52, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая инициатива. Единственное, жаль что не со следующего понедельника.
     
  • 1.119, YM2608 (?), 20:16, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    задрала уже всеобщая двухфакторная аутентификация
     
  • 1.131, Реальный пацан (?), 21:41, 16/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Номер телефона требуют? Или это не обязательно?
    Если только oauth то как-то с этим жить ещё можно.
     
     
  • 2.135, Аноним (61), 22:09, 16/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Номер телефона требуют?

    Для двухфакторки? Нет, не обязательно. Я обязательную привязку номера телефона видел только в коммунистическом Китае с его аналогом гитхаба gitee.com, то есть там залогиниться можно по обычному паролю, но для публикации кода требуют телефон.

     
     
  • 3.179, Аноним (179), 11:09, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > для публикации кода требуют телефон

    что и требовалось сказать первым предложением.

     
  • 3.203, Аноним (207), 19:52, 17/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по описанию, покруче чем GitLab будет. Но https://gitee.com/terms на китайском - сразу ффтопку.
     

  • 1.176, Аноним (176), 07:59, 17/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О! Нет мобилы - не разработчик.
    Ништяк подход. :-)
     
     
  • 2.215, Прохожий (??), 08:21, 19/12/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Необходимость использования мобильного приложения для 2FA не означает необходимость иметь мобилу (дам подсказку, потому что сам, похоже, вряд ли додумаешься - пользуйся виртуальной машиной). Кроме того, можно не пользоваться и мобильными приложениями, если есть аппаратный ключ.
     

  • 1.211, Аноним (211), 20:53, 18/12/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    следующим шагом будет небинарная идентификация
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру