Здравствуйте, reversecode, Вы писали:

R>с лора
R>https://github.com/dim13/2fa.git

Спасибо! То, что нужно.

P.S. Стремление увеличивать надежность в системе авторизации путем усложнения жизни пользователю всегда порождает практику записывать секретные коды на желтую бумажку, приклененную к монитору

Здравствуйте, sharez, Вы писали:

S>Угон аккаунта через email/sms — очень распространенная тема. Непонятно, как её решать помимо totp 2fa.
S>Я даже на Госуслугах вместо SMS включил TOTP.

А нельзя мне самому предоставить решать, как мне защищаться?

S>Угон аккаунта через email/sms — очень распространенная тема. Непонятно, как её решать помимо totp 2fa.

Каким образом 2FA является решением в этом случае? Либо сервис разрешает сброс пароля через e-mail, либо нет.

В своем блоге они пишут:

Last year, we announced our commitment to require all developers who contribute code on GitHub.com to enable two-factor authentication (2FA) by the end of 2023.

https://github.blog/2023-03-09-raising-the-bar-for-software-security-github-2fa-begins-march-13/

Вот я например никакого кода не контрибьютил и не собирался (только багрепорты и т.п.), однако с меня тоже потребовали 2FA.

S>Я даже на Госуслугах вместо SMS включил TOTP.

Pzz>P.S. Стремление увеличивать надежность в системе авторизации путем усложнения жизни пользователю всегда порождает практику записывать секретные коды на желтую бумажку, приклененную к монитору

к слову у GH помимо SMS и TOTP доступны ещё три фактора — security keys, passkeys, github mobile. Причем passkeys работает как 1FA (пароль не требуется).

пасскей вроде как то к броузеру привязывается?
тогда так себе способ, после смены компьютера все улетит

R>пасскей вроде как то к броузеру привязывается?
R>тогда так себе способ, после смены компьютера все улетит

Вряд ли, это зависит от типа и настроек authenticator`а:

Passkeys are pairs of cryptographic keys (a public key and a private key) that are stored by an authenticator you control.
The authenticator can prove that a user is present and is authorized to use the passkey.
Authenticators prove authorization with a PIN, passcode, biometric, or device password, depending on the authenticator's capabilities and configuration.
Authenticators come in many forms, such as an iPhone or Android device, Windows Hello, a FIDO2 hardware security key, or a password manager.

https://docs.github.com/en/authentication/authenticating-with-a-passkey/about-passkeys

Выглядит как те же security key, но с формальным требованием к authenticator`у валидировать пользователя.

Здравствуйте, Pzz, Вы писали:

Pzz>А нельзя мне самому предоставить решать, как мне защищаться?

Вопрос лишь в том, готова ли компания тратить время и деньги на индивидуальную валидацию всех хакнутых персонажей.
Денег 0, а выпадение аккаунта из сообщества болезненно.

Выбор мог быть таким:
— TOTP
— Если что случится, аккаунт будет забанен на веки вечные, аминь, подпись кровью, поддержку не беспокоить.

Проблема в том, что ГитХабу второй вариант невыгоден.

Есть ещё вариант 3:
— Любой другой платный сервис. Или бесплатный. Но вне коммюнити.

спустя неделю активации 2fa
эти уроды начали пихать баннер после авторизации
а сконфигурируйте еще какие нибудь методы авторизации
и на выбор там пасскей, смс, вторй емеил и еще что то
пока это окошно можно скипнуть
но скипнуть с ремайнд ми позже
а не навсегда убрать

Здравствуйте, reversecode, Вы писали:

R>спустя неделю активации 2fa
R>эти уроды начали пихать баннер после авторизации
R>а сконфигурируйте еще какие нибудь методы авторизации
R>и на выбор там пасскей, смс, вторй емеил и еще что то

СМС они мне в Россию не предлагают. Второй e-mail, ну дам, если попросят.

R>пока это окошно можно скипнуть
R>но скипнуть с ремайнд ми позже
R>а не навсегда убрать

Микрософт же. Как windows update — можно напомнить позже, но нельзя не напоминать никогда.