P.S. Стремление увеличивать надежность в системе авторизации путем усложнения жизни пользователю всегда порождает практику записывать секретные коды на желтую бумажку, приклененную к монитору
Здравствуйте, sharez, Вы писали:
S>Угон аккаунта через email/sms — очень распространенная тема. Непонятно, как её решать помимо totp 2fa. S>Я даже на Госуслугах вместо SMS включил TOTP.
А нельзя мне самому предоставить решать, как мне защищаться?
S>Угон аккаунта через email/sms — очень распространенная тема. Непонятно, как её решать помимо totp 2fa.
Каким образом 2FA является решением в этом случае? Либо сервис разрешает сброс пароля через e-mail, либо нет.
В своем блоге они пишут:
Last year, we announced our commitment to require all developers who contribute code on GitHub.com to enable two-factor authentication (2FA) by the end of 2023.
Вот я например никакого кода не контрибьютил и не собирался (только багрепорты и т.п.), однако с меня тоже потребовали 2FA.
S>Я даже на Госуслугах вместо SMS включил TOTP.
Pzz>P.S. Стремление увеличивать надежность в системе авторизации путем усложнения жизни пользователю всегда порождает практику записывать секретные коды на желтую бумажку, приклененную к монитору
к слову у GH помимо SMS и TOTP доступны ещё три фактора — security keys, passkeys, github mobile. Причем passkeys работает как 1FA (пароль не требуется).
R>пасскей вроде как то к броузеру привязывается? R>тогда так себе способ, после смены компьютера все улетит
Вряд ли, это зависит от типа и настроек authenticator`а:
Passkeys are pairs of cryptographic keys (a public key and a private key) that are stored by an authenticator you control.
The authenticator can prove that a user is present and is authorized to use the passkey.
Authenticators prove authorization with a PIN, passcode, biometric, or device password, depending on the authenticator's capabilities and configuration. Authenticators come in many forms, such as an iPhone or Android device, Windows Hello, a FIDO2 hardware security key, or a password manager.
Здравствуйте, Pzz, Вы писали:
Pzz>А нельзя мне самому предоставить решать, как мне защищаться?
Вопрос лишь в том, готова ли компания тратить время и деньги на индивидуальную валидацию всех хакнутых персонажей.
Денег 0, а выпадение аккаунта из сообщества болезненно.
Выбор мог быть таким:
— TOTP
— Если что случится, аккаунт будет забанен на веки вечные, аминь, подпись кровью, поддержку не беспокоить.
Проблема в том, что ГитХабу второй вариант невыгоден.
Есть ещё вариант 3:
— Любой другой платный сервис. Или бесплатный. Но вне коммюнити.
спустя неделю активации 2fa
эти уроды начали пихать баннер после авторизации
а сконфигурируйте еще какие нибудь методы авторизации
и на выбор там пасскей, смс, вторй емеил и еще что то
пока это окошно можно скипнуть
но скипнуть с ремайнд ми позже
а не навсегда убрать
Здравствуйте, reversecode, Вы писали:
R>спустя неделю активации 2fa R>эти уроды начали пихать баннер после авторизации R>а сконфигурируйте еще какие нибудь методы авторизации R>и на выбор там пасскей, смс, вторй емеил и еще что то
СМС они мне в Россию не предлагают. Второй e-mail, ну дам, если попросят.
R>пока это окошно можно скипнуть R>но скипнуть с ремайнд ми позже R>а не навсегда убрать
Микрософт же. Как windows update — можно напомнить позже, но нельзя не напоминать никогда.