github-у приспичило перевести всех на двухфакторную авторизацию. Говорят, надо поставить себе TOTP app, она будет герерировать мне одноразовые пароли и мне сделается щастье.
Вопрос, какую TOTP app посоветуете? Удобнее, вроде, для мобилки (для андроида), но что делать, если я мобилку потеряю (или настанет пора переезжать на новую)?
Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
Есть ли они в виде локального приложения для Linux? Если да, как ее поставить на два компьютера, чтобы любой из них мог генерировать эти самые одноразовые пароли?
Это — комманд-лайновая програмка, которая хранит секреты в текстовом файле и генерит одноразовые пароли. Написана на Go. Синхронизацию между устройствами можно организовать, вручную синхронизиеуя этот файл.
вот из за таких как вы и переводят всех на 2fa
лучше удалить аккаунт и перейти на другие платформы как делают многие
или поставить все в рид-онли и послать их нах
я например еще и с саппортом связался и высказал свое аргументированное фи
если бы таких как я было еще хотя бы миллион
то 2fa бы откатили
а то еще через годик МС заставит сканить свои гениталии
и вы послушно пойдете прогибаться по эти требования
Было github 2fa
Странно, что Вы не знаете как работает TOTP. Алгоритм описан в RFC, поэтому никакой привязки к приложению нет, достатчно иметь setup key, чтобы сгенерировать всю последовательность одноразовых кодов.
Здравствуйте, Pzz, Вы писали:
Pzz>Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
У меня на мобилке стоит какой-то Autehticator, синее полуяйцо с ручкой и голубым человечком в нем, искать как оно называется — лень. Но вроде ставил Microsoft Autehticator
Здравствуйте, m2user, Вы писали:
M>Было github 2fa M>Странно, что Вы не знаете как работает TOTP. Алгоритм описан в RFC, поэтому никакой привязки к приложению нет, достатчно иметь setup key, чтобы сгенерировать всю последовательность одноразовых кодов.
Я так понимаю, setup key может храниться локально, а может — "в облаке".
Здравствуйте, reversecode, Вы писали:
R>вот из за таких как вы и переводят всех на 2fa R>лучше удалить аккаунт и перейти на другие платформы как делают многие R>или поставить все в рид-онли и послать их нах
У меня куча живых пользователей. Чувство социальной ответственности не дает мне делать резких движений.
R>а то еще через годик МС заставит сканить свои гениталии R>и вы послушно пойдете прогибаться по эти требования
Скорее, анализ кала. Причем из-за санкций, нужна будет специальная полуподпольная лаборатория, которая забирает кал в Москве, но результат передает в github.
очень много пользователей(и я в том числе) поставили на все рид онли на все репы
создали репу по имени аккаунта
что бы редми из нее светился
и там прописали что переехали и куда
а в саппорт гитхаба я написал что у вас уже и дальше будет еще большой ексодус с платформы
на что они конечно написали что передадут наверх и подумают
влом еще и с этим г разбираться
на пальцах — зачем там телефон?
они там только мастер кей хранят типа
или какую то железную крипто хрень с телефона юзают?
я к тому что почему бы не сделать вообще тупо мини софтину
которую можно запускать на обычном PC
Pzz>Я так понимаю, setup key может храниться локально, а может — "в облаке".
Ну это Вы сами решаете, где хранить. Вы получаете setupkey при активации 2FA в plain text, либо в виде QR.
Я в теме, на которую ссылался выше, упоминал про oauthtool. Работает так:
R>а то еще через годик МС заставит сканить свои гениталии R>и вы послушно пойдете прогибаться по эти требования
Я бы с радостью не имел учетки на github вообще. Но проблема в том, что многие авторы ПО используют только github для общения с пользователями (форум, багтрекер).
Видимо не вполне понимают, что отдают на аутсорс не только поддержку инфраструкуры проекта, но и право решать (накладывать доп. условия), кто может полноценным стать участником сообщества, а кто нет.
В интернетах полно жалоб про заблокированные учетки.
R>влом еще и с этим г разбираться R>на пальцах — зачем там телефон? R>они там только мастер кей хранят типа R>или какую то железную крипто хрень с телефона юзают?
только мастер кей. Телефон видимо затем, чтобы пользователи не хранили пароль и setup key на одном устройстве.
R>я к тому что почему бы не сделать вообще тупо мини софтину R>которую можно запускать на обычном PC
Здравствуйте, Pzz, Вы писали:
Pzz>В нонешней общественно-политической реальности такого события исключить нельзя. Pzz>В общем, поделитесь опытом, пожалуйста.
Я просто использую домашний сервер.
1. У провайдера стоит доп. услуга статического ip.
2. Я создал папку /git на сервере Debian в которой находятся репозитории.
3. Доступ осуществляется по шаблону, где user это пользователь в системе, x.x.x.x статический ip-адрес, zim один из моих репозиториев. Маршрутизатор пробрасывает соединение на порт сервера 22. ssh://user@x.x.x.x:22/git/zim/
4. Чтобы не набирать пароль я создал пару ключей открытый и закрытый и поместил их на сервер в папку .ssh и на десктопы в Windows 10 (git-scm) опять же в папку .ssh.
5. А чтобы автоматически синхронизироваться в репозитории zim я ещё создал скрипт на батнике с ярлыками.
Подробнее можно почитать в моей статье. Синхронизация личной базы знаний по программированию в Zim
И по мне уместнее вопрос зачем делать репозитории на GitHub. На моём домашнем сервере куча места, я синхронизирую уже десятки гигабайт, а это только начало. Плюс если сервер не взломают, то и доступа чужакам нет. Возится с Gitolite я не стал, так как всё равно кроме меня больше никого нет.
Git создали децентрализованным настолько, что можно работать автономно. Но люди взяли и свели всё к централизации типа GitHub. Здесь ещё и Microsoft подсуетились и купили GitHub.
Майкрософт это же кидалово стримеров, программистов, бизнесменов.
Завести бы тему:
"Почему вы выбрали в качестве хостинга GitHub?".
С Git можно было много, что сделать. У меня даже есть тема Конспектирование на смартфоне где я касаюсь программ Termux и PocketGit.
У Майкрософт типичная тактика подсадить на свои технологии. Присвоить ваши данные и наслаждаться пока вы как дурачок пытаетесь получить к ним доступ.
А дальше будет хуже. Вон Skype (Скупэ) тоже купили и испоганили настолько, что клиенты просто ушли к другим сервисам. Майкрософт как Мидас, только то к чему они прикасаются превращается в говно.
Здравствуйте, velkin, Вы писали:
V>И по мне уместнее вопрос зачем делать репозитории на GitHub. На моём домашнем сервере куча места, я синхронизирую уже десятки гигабайт, а это только начало. Плюс если сервер не взломают, то и доступа чужакам нет. Возится с Gitolite я не стал, так как всё равно кроме меня больше никого нет.
Потому, что open source. Домашний сервер у меня тоже есть.
Здравствуйте, reversecode, Вы писали:
R>или какую то железную крипто хрень с телефона юзают?
Нет, не юзает. Наверное, он юзает присущее телефону умение смотреть на QR-код камерой и распоснавать его.
R>я к тому что почему бы не сделать вообще тупо мини софтину R>которую можно запускать на обычном PC
Потому, что я пытаюсь отмазаться от прочтения соответствующего RFC и написания этой мини софтины.
Pzz>>Я так понимаю, setup key может храниться локально, а может — "в облаке".
M>Ну это Вы сами решаете, где хранить. Вы получаете setupkey при активации 2FA в plain text, либо в виде QR. M>Я в теме, на которую ссылался выше, упоминал про oauthtool. Работает так:
А гитхаб отдаст мне этот setupkey в виде плейнтекста? А если я его утрачу, второй раз отдаст? И этот ключ, он всегда один и тот же?
(блин, понапридумывали ненужных проблем на пустом месте).
Pzz>А гитхаб отдаст мне этот setupkey в виде плейнтекста? А если я его утрачу, второй раз отдаст? И этот ключ, он всегда один и тот же?
Раньше отдавал.
Можно и QR распознать. В любом случае до активации 2FA оно попросит сгенерить один код для проверки.
Pzz> А если я его утрачу, второй раз отдаст?
Нет, но процедура смены (на случай компрометации) вероятно есть.
На случай утраты там запасной способ аутентификации — recovery коды, как уже отметил reverscode.
Думаю, что и через e-mail можно сбросить (как пароль).
Pzz> И этот ключ, он всегда один и тот же?
Да, примерно как пароль.
Pzz>(блин, понапридумывали ненужных проблем на пустом месте).
Там нормальный help, в котором в основном всё это написано.