Было github 2fa
Странно, что Вы не знаете как работает TOTP. Алгоритм описан в RFC, поэтому никакой привязки к приложению нет, достатчно иметь setup key, чтобы сгенерировать всю последовательность одноразовых кодов.
вот из за таких как вы и переводят всех на 2fa
лучше удалить аккаунт и перейти на другие платформы как делают многие
или поставить все в рид-онли и послать их нах
я например еще и с саппортом связался и высказал свое аргументированное фи
если бы таких как я было еще хотя бы миллион
то 2fa бы откатили
а то еще через годик МС заставит сканить свои гениталии
и вы послушно пойдете прогибаться по эти требования
Здравствуйте, reversecode, Вы писали:
R>вот из за таких как вы и переводят всех на 2fa R>лучше удалить аккаунт и перейти на другие платформы как делают многие
А что плохого в 2fa, тем более через TOTP (а не СМС — это фу!)?
Я на каждом сервисе ищу, как включить TOTP. Потому что это единственное, что может защитить от утечки пароля, который сохраняется всеми броузере непонятно как, и непонятно с какой изоляцией от расширений (баги бывают везде).
Хотя я и против принудиловки. Но, имхо, ГитХаб вам желает хорошего, пусть и в такой приказной форме.
Все эти приложения работают по стандартному алгоритму, у которого на входе некий сид (который ты по идее должен где-то записать) и текущее время (чтобы код менялся).
Google Authenticator, насколько я знаю, работает точно так же. И даже если тебя гугл забанит и ты не сможешь использовать это приложение, ты сможешь взять любое другое приложение.
Можно просто какой-нибудь консольный клиент поставить. Смысл 2FA, правда, при этом немного потеряется.
спустя неделю активации 2fa
эти уроды начали пихать баннер после авторизации
а сконфигурируйте еще какие нибудь методы авторизации
и на выбор там пасскей, смс, вторй емеил и еще что то
пока это окошно можно скипнуть
но скипнуть с ремайнд ми позже
а не навсегда убрать
github-у приспичило перевести всех на двухфакторную авторизацию. Говорят, надо поставить себе TOTP app, она будет герерировать мне одноразовые пароли и мне сделается щастье.
Вопрос, какую TOTP app посоветуете? Удобнее, вроде, для мобилки (для андроида), но что делать, если я мобилку потеряю (или настанет пора переезжать на новую)?
Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
Есть ли они в виде локального приложения для Linux? Если да, как ее поставить на два компьютера, чтобы любой из них мог генерировать эти самые одноразовые пароли?
Это — комманд-лайновая програмка, которая хранит секреты в текстовом файле и генерит одноразовые пароли. Написана на Go. Синхронизацию между устройствами можно организовать, вручную синхронизиеуя этот файл.
Здравствуйте, Pzz, Вы писали:
Pzz>Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
У меня на мобилке стоит какой-то Autehticator, синее полуяйцо с ручкой и голубым человечком в нем, искать как оно называется — лень. Но вроде ставил Microsoft Autehticator
Здравствуйте, m2user, Вы писали:
M>Было github 2fa M>Странно, что Вы не знаете как работает TOTP. Алгоритм описан в RFC, поэтому никакой привязки к приложению нет, достатчно иметь setup key, чтобы сгенерировать всю последовательность одноразовых кодов.
Я так понимаю, setup key может храниться локально, а может — "в облаке".
Здравствуйте, reversecode, Вы писали:
R>вот из за таких как вы и переводят всех на 2fa R>лучше удалить аккаунт и перейти на другие платформы как делают многие R>или поставить все в рид-онли и послать их нах
У меня куча живых пользователей. Чувство социальной ответственности не дает мне делать резких движений.
R>а то еще через годик МС заставит сканить свои гениталии R>и вы послушно пойдете прогибаться по эти требования
Скорее, анализ кала. Причем из-за санкций, нужна будет специальная полуподпольная лаборатория, которая забирает кал в Москве, но результат передает в github.
очень много пользователей(и я в том числе) поставили на все рид онли на все репы
создали репу по имени аккаунта
что бы редми из нее светился
и там прописали что переехали и куда
а в саппорт гитхаба я написал что у вас уже и дальше будет еще большой ексодус с платформы
на что они конечно написали что передадут наверх и подумают
влом еще и с этим г разбираться
на пальцах — зачем там телефон?
они там только мастер кей хранят типа
или какую то железную крипто хрень с телефона юзают?
я к тому что почему бы не сделать вообще тупо мини софтину
которую можно запускать на обычном PC
Pzz>Я так понимаю, setup key может храниться локально, а может — "в облаке".
Ну это Вы сами решаете, где хранить. Вы получаете setupkey при активации 2FA в plain text, либо в виде QR.
Я в теме, на которую ссылался выше, упоминал про oauthtool. Работает так:
R>а то еще через годик МС заставит сканить свои гениталии R>и вы послушно пойдете прогибаться по эти требования
Я бы с радостью не имел учетки на github вообще. Но проблема в том, что многие авторы ПО используют только github для общения с пользователями (форум, багтрекер).
Видимо не вполне понимают, что отдают на аутсорс не только поддержку инфраструкуры проекта, но и право решать (накладывать доп. условия), кто может полноценным стать участником сообщества, а кто нет.
В интернетах полно жалоб про заблокированные учетки.
R>влом еще и с этим г разбираться R>на пальцах — зачем там телефон? R>они там только мастер кей хранят типа R>или какую то железную крипто хрень с телефона юзают?
только мастер кей. Телефон видимо затем, чтобы пользователи не хранили пароль и setup key на одном устройстве.
R>я к тому что почему бы не сделать вообще тупо мини софтину R>которую можно запускать на обычном PC
Здравствуйте, Pzz, Вы писали:
Pzz>В нонешней общественно-политической реальности такого события исключить нельзя. Pzz>В общем, поделитесь опытом, пожалуйста.
Я просто использую домашний сервер.
1. У провайдера стоит доп. услуга статического ip.
2. Я создал папку /git на сервере Debian в которой находятся репозитории.
3. Доступ осуществляется по шаблону, где user это пользователь в системе, x.x.x.x статический ip-адрес, zim один из моих репозиториев. Маршрутизатор пробрасывает соединение на порт сервера 22. ssh://user@x.x.x.x:22/git/zim/
4. Чтобы не набирать пароль я создал пару ключей открытый и закрытый и поместил их на сервер в папку .ssh и на десктопы в Windows 10 (git-scm) опять же в папку .ssh.
5. А чтобы автоматически синхронизироваться в репозитории zim я ещё создал скрипт на батнике с ярлыками.
Подробнее можно почитать в моей статье. Синхронизация личной базы знаний по программированию в Zim
И по мне уместнее вопрос зачем делать репозитории на GitHub. На моём домашнем сервере куча места, я синхронизирую уже десятки гигабайт, а это только начало. Плюс если сервер не взломают, то и доступа чужакам нет. Возится с Gitolite я не стал, так как всё равно кроме меня больше никого нет.
Git создали децентрализованным настолько, что можно работать автономно. Но люди взяли и свели всё к централизации типа GitHub. Здесь ещё и Microsoft подсуетились и купили GitHub.
Майкрософт это же кидалово стримеров, программистов, бизнесменов.
Завести бы тему:
"Почему вы выбрали в качестве хостинга GitHub?".
С Git можно было много, что сделать. У меня даже есть тема Конспектирование на смартфоне где я касаюсь программ Termux и PocketGit.
У Майкрософт типичная тактика подсадить на свои технологии. Присвоить ваши данные и наслаждаться пока вы как дурачок пытаетесь получить к ним доступ.
А дальше будет хуже. Вон Skype (Скупэ) тоже купили и испоганили настолько, что клиенты просто ушли к другим сервисам. Майкрософт как Мидас, только то к чему они прикасаются превращается в говно.
Здравствуйте, velkin, Вы писали:
V>И по мне уместнее вопрос зачем делать репозитории на GitHub. На моём домашнем сервере куча места, я синхронизирую уже десятки гигабайт, а это только начало. Плюс если сервер не взломают, то и доступа чужакам нет. Возится с Gitolite я не стал, так как всё равно кроме меня больше никого нет.
Потому, что open source. Домашний сервер у меня тоже есть.
Здравствуйте, reversecode, Вы писали:
R>или какую то железную крипто хрень с телефона юзают?
Нет, не юзает. Наверное, он юзает присущее телефону умение смотреть на QR-код камерой и распоснавать его.
R>я к тому что почему бы не сделать вообще тупо мини софтину R>которую можно запускать на обычном PC
Потому, что я пытаюсь отмазаться от прочтения соответствующего RFC и написания этой мини софтины.
Pzz>>Я так понимаю, setup key может храниться локально, а может — "в облаке".
M>Ну это Вы сами решаете, где хранить. Вы получаете setupkey при активации 2FA в plain text, либо в виде QR. M>Я в теме, на которую ссылался выше, упоминал про oauthtool. Работает так:
А гитхаб отдаст мне этот setupkey в виде плейнтекста? А если я его утрачу, второй раз отдаст? И этот ключ, он всегда один и тот же?
(блин, понапридумывали ненужных проблем на пустом месте).
Pzz>А гитхаб отдаст мне этот setupkey в виде плейнтекста? А если я его утрачу, второй раз отдаст? И этот ключ, он всегда один и тот же?
Раньше отдавал.
Можно и QR распознать. В любом случае до активации 2FA оно попросит сгенерить один код для проверки.
Pzz> А если я его утрачу, второй раз отдаст?
Нет, но процедура смены (на случай компрометации) вероятно есть.
На случай утраты там запасной способ аутентификации — recovery коды, как уже отметил reverscode.
Думаю, что и через e-mail можно сбросить (как пароль).
Pzz> И этот ключ, он всегда один и тот же?
Да, примерно как пароль.
Pzz>(блин, понапридумывали ненужных проблем на пустом месте).
Там нормальный help, в котором в основном всё это написано.
Здравствуйте, Pzz, Вы писали:
V>>И по мне уместнее вопрос зачем делать репозитории на GitHub. Pzz>Потому, что open source. Домашний сервер у меня тоже есть.
У меня ещё есть сайты с доменами на VPS, но нет открытого или свободного кода. Я просто знаю, что есть официальные сайты программ. А GitHub мною воспринимается как что-то вроде помойки. Я тоже заводил на нём когда-то учётку, как и на SourceForge.
Мне не нравится, что.
1. Открытость кода. А я не хочу чтобы весь код был открыт.
2. Лицензирование кода. Эти хостинги продвигают тему лицензий и права собственности. Что всё что вы напишите принадлежит им или на худой конец общественности.
3. Авторский код. А есть гарантия, что авторы кода сами его там опубликовали, даже если код свободный. Или сервисы его себе копируют для галки тем самым привлекая остальных пользователей.
4. Обсуждение кода. Может кто-то где-то что-то и обсуждает, но я никогда этого не делал. Ну и мои открытые изыскания вряд ли кому-то нужны. А те что нужны лично мне закрыты.
5. Мусорный код. Да и в принципе мощные проекты находящиеся не на официальных сайтах выглядят не серьёзно. Они там лежат рядом с трешачком.
6. Бан кода. Скандалы с тем, что сервисы начинают банить учётки разработчиков. А почему, ну потому что.
Конечно, если кто там совместно работает, то и хорошо. Просто лично у меня сложилось не хорошее впечатление об этих сервисах. Я не говорю, что нужно бежать поднимать Redmine, хотя по мне он гораздо круче, или ещё что-то такое. Но вот сервисы майкрософт вставляют палки в колёса.
Ладно это бесплатно. Российский бизнес им платил деньги, государство продавливало бизнес чтобы они не пиратили майкрософт. А те в итоге просто взяли и киданули российские компании по полной наплевав на договор и вообще на всё.
Ну то есть студенту или там просто разработчику нормально думаю и на ненадёжном сервисе. А для людей, которые считают что им нужна хотя бы минимальная надёжность такое не подойдёт.
Кстати, пользуясь случаем передаю из России привет Jira и JetBrains. Сколько лет я писал про свободные программы, что они лучше. Нет говорили мне, а на нет и суда нет. Может быть однажды передам привет и GitHub, если Россию окончательно забанят как Крым.
Здравствуйте, Pzz, Вы писали:
Pzz>Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
Здравствуйте, GarryIV, Вы писали:
Pzz>>Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
GIV>В GH тебя тоже забанят
Ну, когда забанят, тогда и проблема рассосется. А пока не забанили, придется прилаживаться под их прибамбасы.
Здравствуйте, Pzz, Вы писали:
R>>или какую то железную крипто хрень с телефона юзают?
Pzz>Нет, не юзает. Наверное, он юзает присущее телефону умение смотреть на QR-код камерой и распоснавать его.
Можно прочитать любой гляделкой QR-код. Он в открытом текстовом виде.
R>>я к тому что почему бы не сделать вообще тупо мини софтину R>>которую можно запускать на обычном PC
Pzz>Потому, что я пытаюсь отмазаться от прочтения соответствующего RFC и написания этой мини софтины.
В RFC TOTP из первого ответа приведена та консольная мини-софтинка, которая генерирует временной код.
Она на Java и переносима. Только в неё свои параметры надо передать:
конвертнуть ключ из base32 в base16 и запросить число цифр кода равное шести.
Здравствуйте, Pzz, Вы писали:
Pzz>А гитхаб отдаст мне этот setupkey в виде плейнтекста? А если я его утрачу, второй раз отдаст?
QR-код и есть визуальное отображение этого plain text кода. 99% сервисов показывают и то, и другое. Отдельные мамонты показывают лишь QR код, его надо распознать и сохранить как plain text. Он константен. А одноразовый код это функция от этого plain text кода + текущего времени.
Чтобы этим удобно было пользоваться, нужно интегрировать это с хранилкой паролей. Не надо облаков для паролей / TOTP, теряется вся секюрность. Не надо на телефон — вы его потеряете и лишитесь, да и как бекапить (не в облако!). Все эти мобильные аппы — компромисс для широкой аудитории (компа может и не быть).
с учетом того что меил-акк прибит как правило в телефону
то даже если каким то чудесным образом уплывет и почтовый акк
и получат через почту акк на гитхаб
это все роллбечится, меил-акк восстанавливается обратно и гитхаб тоже
вспомните, основная идея включения 2fa на гитхабе что бы злоумышленники не смогли получить доступ к особо критичным репам
и не внесли туда какой нибудь бедор или еще чего
так что поголовная принудиловка это перекладывания с больной головы на здоровую
к счастью сегодня узнал и разобрался что оказывается все это можно через консоль утилиту сделать
так что вернулся обратно на гитхаб, слишком много всего вложил в него
хотя перед этим уже переехал на гитлаб
там такой хрени нет
Здравствуйте, reversecode, Вы писали:
R>с учетом того что меил-акк прибит как правило в телефону R>то даже если каким то чудесным образом уплывет и почтовый акк R>и получат через почту акк на гитхаб
Без TOTP 2fa через e-mail нельзя получить доступ к акку, если реализация не кривая (вы уверены, что у GitHub она ведет себя именно так?).
При включенной TOTP 2fa восстановление можно сделать только через recovery codes.
Иначе смысла мало. E-mail сервер обычно арендуемый, а почта вообще иногда без шифрования ходит, несекьюрно. 2fa через TOTP — попытка уйти от этих e-mail/sms — идея именно в этом.
Вот принудительный e-mail 2fa был бы маразмом и фашизмом в 2024 году.
Здравствуйте, reversecode, Вы писали:
R>до навязывание 2fa R>именно это, возможность угнать гитхаб акк через меил и было поводом начать эту кампанию по 2fa
Угон аккаунта через email/sms — очень распространенная тема. Непонятно, как её решать помимо totp 2fa.
Я даже на Госуслугах вместо SMS включил TOTP.
андроид телефоны привязываются к меилу
покрайней мере гмеилу у меня
и иногда гмеил требует верификацию кода с телефона
если подозрительно странный вход в миел был осуществлен
посему даже если дальше цепочка за сбоит
все можно откатить вернув сначала себе доступ к основному меилу
а если меил и в самом гитхабе или еще где то поменяют
то дальше письмецо в саппорт того же гитхаба что бы сделали ролбек как было
так или иначе
если все хреново с 2fa и все коды просраны
тоже придется писать в саппорт
так что по факту одно и тоже
только с 2fa доп уровень гемора
Здравствуйте, Pzz, Вы писали:
Pzz>Если для мобилки, какую посоветуете? Напрашивается вроде Google Autehticator, но складывается впечатление, что он перестанет работать, если меня забанят в Гугле. В нонешней общественно-политической реальности такого события исключить нельзя. Есть ли TOTP app, не привязанные к каким-либо веб-сервисам, особенно иностранным?
Ну GitHub это же Microsoft сейчас, так что ставь Microsoft Authenticator
Здравствуйте, reversecode, Вы писали:
R>посему даже если дальше цепочка за сбоит R>все можно откатить вернув сначала себе доступ к основному меилу
Это не всегда возможно. Например, ваш аккаунт заблокировал Google. Или Yandex. Или у кого вы арендовали мейл-сервер.
Если почта на собственном домене, то можно и домен потерять.
А в любом случае TOTP — это полный контроль над ситуацией, вечный. Конечно, потребуются дополнительные движения:
R>так что по факту одно и тоже R>только с 2fa доп уровень гемора
GitHub просто считает, что у его аудитории баланс удобство-безопасность должен быть смещен вправо, а Андродид:
R>андроид телефоны привязываются к меилу
Здравствуйте, sharez, Вы писали:
S>Здравствуйте, reversecode, Вы писали:
R>>посему даже если дальше цепочка за сбоит R>>все можно откатить вернув сначала себе доступ к основному меилу
S>Это не всегда возможно. Например, ваш аккаунт заблокировал Google. Или Yandex. Или у кого вы арендовали мейл-сервер. S>Если почта на собственном домене, то можно и домен потерять. S>А в любом случае TOTP — это полный контроль над ситуацией, вечный. Конечно, потребуются дополнительные движения:
Google заблокировал GoogleAuthenticator, чтобы восстановить доступ надо сохранить где то сид, который могут угнать.
Pzz>github-у приспичило перевести всех на двухфакторную авторизацию. Говорят, надо поставить себе TOTP app, она будет герерировать мне одноразовые пароли и мне сделается щастье.
Ерунда эти 2FA для сайтов с невысокой ценностью. Поэтому посоветую платный Bitwarden — это менеджер паролей в облаке, а за денюжку они ещё и OTP показывают. Поэтому ставишь их расширение в браузер и логинишься в 2FA в два клика, и не нужно тянуться к телефону.
Здравствуйте, Pzz, Вы писали:
Pzz>В общем, поделитесь опытом, пожалуйста.
Я яндекс.ключ поставил на свой андроид, там есть нормальный TOTP. В целом головной боли он не добавляет, т.к. гит, как и раньше, работает по SSH, а сессия в браузере с бесконечным временем жизни. В общем, с момента внедрения TOTP я его вводил только один раз — при задании.
P.S. Стремление увеличивать надежность в системе авторизации путем усложнения жизни пользователю всегда порождает практику записывать секретные коды на желтую бумажку, приклененную к монитору
Здравствуйте, sharez, Вы писали:
S>Угон аккаунта через email/sms — очень распространенная тема. Непонятно, как её решать помимо totp 2fa. S>Я даже на Госуслугах вместо SMS включил TOTP.
А нельзя мне самому предоставить решать, как мне защищаться?
S>Угон аккаунта через email/sms — очень распространенная тема. Непонятно, как её решать помимо totp 2fa.
Каким образом 2FA является решением в этом случае? Либо сервис разрешает сброс пароля через e-mail, либо нет.
В своем блоге они пишут:
Last year, we announced our commitment to require all developers who contribute code on GitHub.com to enable two-factor authentication (2FA) by the end of 2023.
Вот я например никакого кода не контрибьютил и не собирался (только багрепорты и т.п.), однако с меня тоже потребовали 2FA.
S>Я даже на Госуслугах вместо SMS включил TOTP.
Pzz>P.S. Стремление увеличивать надежность в системе авторизации путем усложнения жизни пользователю всегда порождает практику записывать секретные коды на желтую бумажку, приклененную к монитору
к слову у GH помимо SMS и TOTP доступны ещё три фактора — security keys, passkeys, github mobile. Причем passkeys работает как 1FA (пароль не требуется).
R>пасскей вроде как то к броузеру привязывается? R>тогда так себе способ, после смены компьютера все улетит
Вряд ли, это зависит от типа и настроек authenticator`а:
Passkeys are pairs of cryptographic keys (a public key and a private key) that are stored by an authenticator you control.
The authenticator can prove that a user is present and is authorized to use the passkey.
Authenticators prove authorization with a PIN, passcode, biometric, or device password, depending on the authenticator's capabilities and configuration. Authenticators come in many forms, such as an iPhone or Android device, Windows Hello, a FIDO2 hardware security key, or a password manager.
Здравствуйте, Pzz, Вы писали:
Pzz>А нельзя мне самому предоставить решать, как мне защищаться?
Вопрос лишь в том, готова ли компания тратить время и деньги на индивидуальную валидацию всех хакнутых персонажей.
Денег 0, а выпадение аккаунта из сообщества болезненно.
Выбор мог быть таким:
— TOTP
— Если что случится, аккаунт будет забанен на веки вечные, аминь, подпись кровью, поддержку не беспокоить.
Проблема в том, что ГитХабу второй вариант невыгоден.
Есть ещё вариант 3:
— Любой другой платный сервис. Или бесплатный. Но вне коммюнити.
Здравствуйте, reversecode, Вы писали:
R>спустя неделю активации 2fa R>эти уроды начали пихать баннер после авторизации R>а сконфигурируйте еще какие нибудь методы авторизации R>и на выбор там пасскей, смс, вторй емеил и еще что то
СМС они мне в Россию не предлагают. Второй e-mail, ну дам, если попросят.
R>пока это окошно можно скипнуть R>но скипнуть с ремайнд ми позже R>а не навсегда убрать
Микрософт же. Как windows update — можно напомнить позже, но нельзя не напоминать никогда.
