URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129276
[ Назад ]
Исходное сообщение
"GitHub объявил о внедрении в следующем году всеобщей двухфакторной аутентификации"
Отправлено opennews , 16-Дек-22 09:51 
GitHub анонсировал переход на обязательную двухфакторную аутентификацию всех пользователей, публикующих код на GitHub.com. На первом этапе в марте 2023 года обязательная двухфакторная аутентификация начнёт применяться для отдельных групп пользователей, постепенно охватывая всё новые и новые категории...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58335

Содержание
Сообщения в этом обсуждении
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено КО , 16-Дек-22 09:51 
"пользователей, публикующих код"
выдыхаем
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 22:49 
Ну окей. Есть гитлаб. А если что можно и свой гитлаб поднять.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 18-Дек-22 04:17 
* Опубликовать код на GitHub
* Поднять свой GitLab.

Ну, ваще накакой разницы...

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 18-Дек-22 21:27 
За гитлаб не скажу, но Gitea поднимается одним контейнером
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 09:53 
Корпорации как всегда в своем стиле, насильно и безальтернативно внедряют то о чем их не просили
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 10:05 
А то ты так хотел себе в колено выстрелить...
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:27 
Ну а что - сбой у провайдера -> нет SMS -> нет сабжа. Причем в последнее время описанная ситуация - норма. В Сбере и у МТС, бывают, SMS о покупках приходят сразу пачкой часа через 2-3. Еле убрал ее с Госуслуг, к которым был привязан корпоративный аккаунт для входя в ГИС.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено tema , 16-Дек-22 12:32 
Использовать 2FA через SMS!? - не смеши ))
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 14:47 
>нет SMS -> нет сабжа

А отправку SMS в РФ гитхаб и не поддерживает https://docs.github.com/en/authentication/securing-your-acco...

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено leap42 , 16-Дек-22 17:22 
Ох уж эти эксперты opennet 🤣🤣🤣

Там приложеньку надо настраивать или ключ аппаратный. СМС только fallback и не для всех стран. Пруф - сейчас настраивал себе.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено fuggy , 16-Дек-22 22:36 
Фолбек фолбеком, но иметь резервный режим надо, на случай если приложение потеряешь. Или хотя бы на чеке одноразовые коды распечатать, благо гитхаб это умеет.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 14:38 
>если приложение потеряешь

А не легче настроить двухфакторную аутентификацию TOTP в KepassXC? Вы же знаете что это и пользуетесь этим? Правда? Айтишники же не хранят пароли в браузере или таблице?

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 18-Дек-22 21:28 
Хранить второй фактор вместе с первым, ммм, вкутна
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Без аргументов , 17-Дек-22 00:15 
Какая разница, через трояна или номер слить?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 14:35 
>Там приложеньку надо настраивать
>приложеньку надо
>приложеньку

Эта приложенька TOTP KeepassXC?

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 01:48 
sms в качестве второго фактора - это худшее, что можно придумать

во всех вменяемых местах есть totp

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Kuromi , 17-Дек-22 01:50 
SMS? А ничего что там TOTP...?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено leap42 , 16-Дек-22 17:28 
> Корпорации как всегда в своем стиле, насильно и безальтернативно внедряют то о чем их не просили...

... в свой продукт вообще-то. Они никого не заставляют им пользоваться.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 09:57 
А куда вы денетесь с подводной лодки?! Дешевле и полезнее ведь новый телефон купить, чем Дрю де Волту за подписку платить.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 11:59 
> чем Дрю де Волту за подписку платить

можно подробнее

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 02:44 
https://meta.sr.ht/register/step2
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено КО , 16-Дек-22 12:11 
А причем здесь телефон, паспорт то у тебя всё равно один.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Вы забыли заполнить поле Name , 17-Дек-22 13:32 
> А причем здесь телефон, паспорт то у тебя всё равно один.

Может у него симка на Ашота зарегана?

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 10:00 
>Users who created a release

То есть почти все. Релиз создаётся автоматически при создании метки с именем, похохим на версию.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 10:15 
Все уходите к Github, друзья.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Вы забыли заполнить поле Name , 16-Дек-22 11:58 
Давно пора. Особенно после внедрения пилотки.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 12:25 
Ой как у копирастов подгорает от сопилота
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 10:22 
Честно, в гитхаб через раз для логина нужно переть на почту и подтверждать, что я - это я, уже в кишках сидит. Теперь к этому добавят двухфакторку и как этим пользоваться тогда?


Когда сервис ломает руки и требует обязательно 2FA, это хороший знак того, что пора искать альтернативу. Хорошо, что это не проблема, свободных гит-репозиториев немало.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 10:28 
На Codeberg пойдёшь? Или на framagit? На эти репозитории непонятных васянов, которые существуют не пойми за счёт чьего финансирования, и которые может быть, для того и затевались, чтобы код на себя оттягивать, а потом в него бэкдоры вставлять, когда IP-адрес скачивающего правильный, например адрес сборочных серверов крупного дистра?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 10:48 
gitlab ?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 11:26 
Насмешил : )
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 02:42 
Это параша похуже GitHub. Пруф: https://gitlab.com/cdn-cgi/challenge-platform/h/g/orchestrat...
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 14:54 
Microsoft-то, конечно, заслуживает доверия (нет).
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 16:35 
Майкам есть что терять, а васянов никто не вспомнит.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 19:02 
>Майкам есть что терять

Так они не против потерять свободный код. Они же предпочитают проприетарщину.

>а васянов никто не вспомнит.

Все когда-то были "васянами" — и Гейтс, и Торвальдс. Если всех "васянов" давить на корню в угоду "проверенным временем" корпорациям, то человечество останется без инноваций. Копропасты - это бюрократия, DRM, долгие патенты, которые плохо совместимы с прогрессом.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Без аргументов , 17-Дек-22 00:17 
Они придумают такую историю, что еще их адепты защищать будут как святых
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:41 
ipfs, gittorrent
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено анон , 19-Дек-22 16:06 
nat пробивает?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 20:17 
Git писался для линукс кернел девелоперов и гитхаб им был не нужен, ровно как и сейчас. Никто не запрещает расширить свои горизонты в сторону "от ненужного", и даже помимо git есть более вменяемые VCS. Пользуйся.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено fuggy , 16-Дек-22 22:42 
А какие есть варианты?
Bitbucket та ещё помойка. На Savannah идти? Свой хостинг Gitea поднимать?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 10:38 
>в гитхаб через раз для логина нужно переть на почту и подтверждать, что я - это я

Экспериментально установлено, что это - когда IP-адрес меняется. А у некоторых жёлто-полосатых провайдеров такой дефицит IPv4 адресов, что 2 разных HTTP-запроса с разницей в несколько секунд могут иметь разные IPv4-адреса, из-за чего при необходимости бана одного пользователя, его банят подсетями вместе со всеми остальными пользователями из этой подсети. При этом эти провайдеры даже не собираются переходить на IPv6. Не собираются переходить на IPv6, Карл! В 2022 году! Надо менять провайдера. Что думаете о STARLINK (на масковском, а московском).

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:42 
>а московском

Это ростелеком.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 02:38 
Спасибо. Никогда бы не догадался сам. А пруфы есть? Я погуглил, вроде не нашлось ничего.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено SilverCutePony , 16-Дек-22 19:54 
>>в гитхаб через раз для логина нужно переть на почту и подтверждать, что я - это я
> Экспериментально установлено, что это - когда IP-адрес меняется. А у некоторых жёлто-полосатых
> провайдеров такой дефицит IPv4 адресов, что 2 разных HTTP-запроса с разницей
> в несколько секунд могут иметь разные IPv4-адреса, из-за чего при необходимости
> бана одного пользователя, его банят подсетями вместе со всеми остальными пользователями
> из этой подсети. При этом эти провайдеры даже не собираются переходить
> на IPv6. Не собираются переходить на IPv6, Карл! В 2022 году!
> Надо менять провайдера. Что думаете о STARLINK (на масковском, а московском).

Компьютерный у меня именно Билайн, к сожалению, но могу сказать про IPv6 в мобильных сетях. Во первых, МТС уже два года как предоставляет всеобщий доступ к IPv6 для всех абонентов. Во вторых, около месяца назад публичный доступ появился у Мегафона, но пока не у всех автоматически подключается, если не работает, в личном кабинете нужно подключить бесплатную услугу "Открытый IPv6"

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Реальный пацан , 16-Дек-22 21:43 
IPv6 - это дрисня ещё так. Overengineered - потому ни разу никто не спешит переходить.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Admino , 16-Дек-22 11:39 
Ещё надо понимать, что больше количество пользователей вообще не пишет код, а ходит на гитхаб, чтобы оставить сообщения об ошибках.

Теперь они не будут так делать.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:40 
Который раз поражаюсь: почему у опеннетчиков не работают даже самые базовые вещи? Вечно то не качается, то забанено, то вот теперь почту подтверждать надо. Вы там что, сидите за провайдеским натом на одном айпишнике все?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 11:13 
Именно так.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 19:31 
Что мешает подключиться к провайдеру с публичными айпи? Только не говори, что со времён районных локалок такие не появились.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 01:52 
с включенным 2fa ни на какую почту ходить не просит

учитывая последствия, которые несёт за собой подбор пароля к учетке автора популярного репозитория, это вполне вменяемые действия

потому что это массовый сервис

не устраивает их политика, всегда можно поднять на своём сервере какой-нибудь gogs

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Об вас пекчусь , 16-Дек-22 11:18 
Наконец‐то дождались!
Но не нужно останавливаться на полумерах. Нужно сразу через гопуслуги со всей биометрией и сертификатом о том, шо ты правильный.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:10 
Это в гитфлик сказали же уже.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Без аргументов , 17-Дек-22 00:19 
Лжец
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 11:24 
не логинюсь, когда всплывает окошко для кода из email-а
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 11:39 
Круто. Вот так настроишь двухфакторку по номеру телефона +7 или по почте в домене ru, а потом однажды твой аккаунт заблокируют без возможности восстановления или удалят нафик, потому что "рожей не вышел".
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 11:53 
https://gitflic.ru/auth/signup
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:55 
Какой-то подвох, не через Госуслуги и без биометрии :-S
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:10 
Какая проблем просто взять и выйти рожей не понятно.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:15 
Леонид Юрьев, перелогиньтесь пожалуйста
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 13:11 
Не знаю, кто такой Леонид Юрьев. Просто вспомнил, как нашу компанию без предупреждения вышвырнули из Slack.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:43 
Законы штука такая, не будешь выполнять — выкинут.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:57 
Наоборот, вкинут и n лет не выпустят.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 19:10 
О чем ты? Наша компания не нарушала законы.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 05:30 
Вот и Slack тоже решил не нарушать.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 08:59 
Какой закон нарушал Slack, предоставляя платные услуги небольшой коммерческой фирме из России? Потом-то понятно какой: нарушил условия договора, удалил учетки, украл деньги, это мошенничество. Когда вернется на российский рынок, надеюсь, выхватит коллективный иск.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено К.О. , 17-Дек-22 11:40 
> Когда вернется на российский рынок
> вернется на российский рынок
> российский рынок

Лет через десять до тебя дойдет, что не так с этим утверждением.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 12:22 
Какой ужас, неужели мне столько ждать придётся?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Вы забыли заполнить поле Name , 17-Дек-22 13:36 
>> Когда вернется на российский рынок
>> вернется на российский рынок
>> российский рынок
> Лет через десять до тебя дойдет, что не так с этим утверждением.

Либерахи как обычно палятся.  

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено К.О. , 01-Апр-23 09:35 
>>> Когда вернется на российский рынок
>>> вернется на российский рынок
>>> российский рынок
>> Лет через десять до тебя дойдет, что не так с этим утверждением.
> Либерахи как обычно палятся.

Какая разница, либерахи или не либерахи, нет никаких либерах.

Есть объективная данность: чем дольше идёт война, тем больше требуется регулирования.

Это происходит по любую сторону границы. Везде, хоть в Корее, хоть в Африке.

Минобороны, что ли, возвращать Slack в РФ будет?

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 19:28 
Закон о санкциях, который им прямо запретил работать с российской компанией. Когда российский рынок вернётся в мировой — продолжите с того же места, на котором остановились. Если не закроетесь к тому времени, конечно.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 22:44 
Што ты несешь? Ни один закон о санкциях не распространялся на Слэк. Это чисто их собственная инициатива.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 16:56 
>пока работает
>как отвалится - есть способы

Надежды юношей питают. :)

>Ну и что мешало гитхабу поудалять нафиг всех своих пользователей раньше, умник?

Во-1, не хами. Во-2, ИТ-компании не все сразу ушли, это процесс. Из свежего: https://habr.com/ru/news/t/705234/
Так что еще не вечер, как говорится.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 18-Дек-22 02:16 
Не понимаю, из-за чего весь сыр-бор, если для роутеров Meraki есть OpenWRT.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:44 
>двухфакторку по номеру телефона +7 или по почте в домене ru

Для полного счастья желательно ещё, чтобы они же были привязаны к госуслугам. И чтобы пароли совпадали.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 11:54 
>обязательную двухфакторную аутентификацию всех пользователей

То есть теперь для опубликования своего кода на гитхабе всем нужно будет обязательно иметь следящий маячок/зонд под названием "смартфон"? Сволочи!

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:09 
Только не говори что ты знал что так будет когда майки купили гитхаб. Все об этом знали и просто случилось то что должно было случится.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Хру , 16-Дек-22 12:11 
OTP так то и на компе работает.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:26 
Для этого комп должен быть оснащен специальным устройством-считывателем, которое дорого стоит и для которого должны быть рабочие драйвера. Не вариант.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено tema , 16-Дек-22 12:37 
не нужно никакое специальное устройство-считыватель, просто в приложение копируешь секретный ключ который тебе сайт выдает..
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:41 
В какое приложение?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:51 
Приложение из недоступных в РФ AppStore и Google Play Market?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Хру , 16-Дек-22 14:21 
Например, такое: https://poolpog.github.io/bash-otp/ ну или https://www.cyberciti.biz/faq/use-oathtool-linux-command-lin.../

oathtool есть почти во вчех правильных дистрах!

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Хру , 16-Дек-22 14:23 
А то что подумал аноним номер 30, то называется usb-token типа nitrokey. Удобная штука если сопровождаешь пакеты постоянно но деняк стоит.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:14 
> деняк стоит

Да ерунду оно стоит, не выдумывай. Если ты постоянно пакеты сопровождаешь, то на ключ либо сам заработаешь, либо у нанимателя попросишь, либо с пользователей донаты соберёшь.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Хру , 16-Дек-22 19:54 
Дак я о сумме ничего не говорил. Просто упомянул, что оно платное. А по ценам ключи разные бывают - HSM модули Нитры по 120 евро это я б не сказал уже, что прям ерунда. Ну а насчет последнего - а почему ты думаешь, что не заработал?)))
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 21:10 
Интернет тоже платный, чего ж не упомянул?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Хру , 16-Дек-22 22:13 
Ага. И электричество. И амортизация оборудования. И мое время тоже :)
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 19:29 
Всё так, кроме времени. Твоё время ничего не стоит, иначе бы ты не тратил его на опеннете ;)
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 15:11 
> oathtool есть почти во вчех правильных дистрах!

Это тот oathtool, который сам для работы требует слить ему телефонный номер?!

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:05 
Не, эта тулза одноразовый код для логина генерит на основе выданного гитхабом ключа https://www.nongnu.org/oath-toolkit/man-oathtool.html
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:02 
>oathtool

Проверил. Работает. Ну хоть что-то, а не сраный смартфон.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:09 
Ахаха т.е. мяу допрыгались от радости что майки друг опенсорса. Нате распишитесь.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:33 
Съедят и это.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Вебмакака , 17-Дек-22 02:28 
Да, и тут еще поминусуют и потроллят, луддитами обзовут
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 12:40 
3rd party сервисы, СМС-ки, гугол и т.д. не нужны. Хранить и генерировать TOTP коды можно через FreeOTP на android или OTPClient на Linux
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Kirikekeks , 16-Дек-22 14:18 
О, первый ответ который я розумею. Откуда все эти мэйлы, мессенджеры и смс выше? Все что надо для генерации кода по времени, это точно настроенное время на клиенте и вот эти приложения.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено penetrator , 16-Дек-22 15:07 
а нахер нужен этот OTP? если ты хранишь его на компе? кто мешает хранить тебе на компе случайный рандомный пароль, с нормальной энтропией, а не linuzpassword

кто мелкософту мешает сделать это опцией?

не нравится мне это ж-ж-ж

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено _kp , 16-Дек-22 15:31 
Затем, что ОТР можно подделать, и потом не мог доказать, что это не сам пользователь сделал какие то действия.
Для того же и электронные подписи.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Kirikekeks , 16-Дек-22 16:27 
> а нахер нужен этот OTP? если ты хранишь его на компе? кто
> мешает хранить тебе на компе случайный рандомный пароль, с нормальной энтропией,
> а не linuzpassword
> кто мелкософту мешает сделать это опцией?
> не нравится мне это ж-ж-ж

Так я же дегенерат, мне 20 символов рандома не запомнить никогда. 6 максимум +totp связка надежная. Есть надежда, что первую часть без паяльника не узнать, а вторая переменная, без первой, вопервых, тоже за минуту раскрыть и ввести это очень сложно, а во вторых смысла нет. Вот кстати подсмотренный пароль, или подслушанный тоже не дают простого длступа.

Как всегда, кто первым нагнет, тот и будет счастлив, потому как иметь 150 totp я точно не буду, и гитхаб рвется в тройку на моих устройствах.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 16:46 
Пароль у юзера хранится в голове, а на серверах - в виде хэша. TOTP подразумевает хранение секрета на устройстве пользователя, которое само по себе может быть скомпрометировано. Концептуально это тот же блокнотик с паролями, разве что не связанное напрямую с устройством, на котором происходит ввод. Или связанное - если авторизация выполняется прямо на мобильном устройстве, либо OTP установлено на десктоп. TOTP нельзя использовать с несекурными паролями!

Запомнить 20 символов можно и очень просто. Придумываешь какое-нибудь предложение из исковерканных слов, вроде "глокая куздра" и готово. 4-5 слов запомнить очень легко.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:06 
Ты бы ссылки на исследования привёл, что ли. А то нафантазировал два абзаца, да всё по мотивам шёпота в своей же голове.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Poulch , 16-Дек-22 19:34 
про хеши на серверах я сильно не уверен. Иначе как вся эта ругань идет, что новый пароль слишком похож на старый... Я задолбался придумывать каждый месяц на сайте микрософта и ряде других солидных контор...
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено fuggy , 16-Дек-22 22:52 
Суть TOTP и всей F2A не в слабом пароле. А в том что они должны должны быть на физически разных устройствах, иначе это фикция. Чтобы когда у тебя украли первое устройство, не смогли войти не имея второго. Это тоже самое как писать пинкод на обороте кредитки. А какое устройство имеют большинство и никогда с ним не расстаются, правильно смартфон.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 02:26 
Да, вот только захожу я на гитхаб в половине случаев с телефона. Ломанут телефон - никакой второй фактор не поможет. Накроется телефон - потеряю аккаунт совсем. Нахрен мне это?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено penetrator , 17-Дек-22 05:07 
а если у тебя FDE и ты сам предпочитаешь обеспечивать безопасность локалхоста?

или у тебя сел телефон, а тебе срочно нужно зайти что-то сделать, а OTP в трубе или ты его просто пролюбил?

почему это не опция? почему если я могу обеспечить безопасный вход ТОЛЬКО с применением пароля без второго фактора, меня обязывают делать по-другому? накой черт такой сервис?

уже сколько раз говорили что мелкософт идет не туда, вопрос что будут делать пользователи гитхаба? вроде же не домохозяйки в большинстве своем SCM используют, хотя может и схавают как всегда

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 18:52 
"А какое устройство имеют большинство и никогда с ним не расстаются, правильно смартфон."
У некоторых он на полочке лежит для тех случаев когда нужно принять смс с кодом и нельзя от такой опции отказаться.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 13:07 
Под благовидной маской МыкроЗофта выглянуло свиное рыло.
В 2024 году вход будет по чипу в руке (для вашей безопасности).
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Вебмакака , 17-Дек-22 00:36 
Как будто это что-то плохое. Ня!
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 02:24 
Там благовидной маски никогда и не было. GitHub был за бабло куплен, а не за обещания быть белыми и пушистыми.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 13:51 
Я не понимаю, местные анонимы, вы про TOTP вообще ничего не слышали? А если и слышали, то только что его можно использовать в Google Authenticator? Реализуется в 30 строчек кода, можете хоть на Bash написать себе свой уникальный и неповторимый генератор кодов.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 14:23 
>Я не понимаю, местные анонимы, вы про TOTP вообще ничего не слышали?

Только плохое. Создает дополнительные неудобства и требует небезопасный смартфон.

>можете хоть на Bash написать

Ты - теоретик. А на практике все OTP прибивают гвоздями к зондосмартфону.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Анонус , 16-Дек-22 15:03 
а ты сам к зондосмартфону гвоздями не прибит?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 16:22 
У меня его вообще нет.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 16:35 
Ты дурак или прикидываешься?
https://github.com/keepassxreboot/keepassxc/tree/develop/src...
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:03 
Ну давай, расскажи про практику. Что там в TOTP конкретно у смартфону прибито? Можешь сразу с ссылкой на RFC.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:12 
Всё, я уже с работой oathtool разобрался, которую тут выше посоветовали. Работает без смартфонного шлака.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:36 
>Ну давай, расскажи про практику.

На практике везде требуют "mobile app" или sms.

>Можешь сразу с ссылкой на RFC.

Не, лучше это почитай https://docs.github.com/en/authentication/securing-your-acco...

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 21:17 
Прочитал. Ни одного слова про то, что для TOTP необходима мобила. На практике невозможно проверить, чем сгенерирован TOTP. Хорош маневрировать.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 21:51 
>Прочитал. Ни одного слова про то, что для TOTP необходима мобила.

Что у тебя со зрением? Очки протри. Ну или окулисту сходи. Или это у тебя такой троллинг тупостью?

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 05:34 
Ну приведи цитату, где написано, что нужна мобила. Серьёзно.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено fuggy , 16-Дек-22 23:02 
На самом деле сильно бесят сервисы, которые привязываются к конкретным приложениям. Например Authy или Duo Security, которые требуют привязывать номер телефона. И какой бы там не был настоящий TOTP по RFC под капотом, там действительно используется TOTP. Но сервис тебе не даст код, которые ты сможешь вставить в FreeOTP. В этом главная проблема.
Гитхаб в этом смысле не такой.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено penetrator , 16-Дек-22 15:10 
а зачем?

зачем создавать проблему, чтобы потом с апломбом ее решать?

если у тебя локалхост дырявый то тебе никакой OTP не поможет

а если у тебя пароль адекватный рандомный длинной 20+, и хранится надежно, то зачем тебе лишний источник проблем?

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:38 
> а зачем?

Сгорел сарай - гори и хата. См. "Вектор атаки".

> если у тебя локалхост дырявый

А если нет?
А если пароль просто перехватили?
А если пароль сбросил злонамеренный сотрудник твоего почтового провайдера?
А если ...?

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено penetrator , 17-Дек-22 05:17 
а если у тебя локалхост не дырявый, то ты можешь записать пароль в текстовый файл, вбить нормальный мастер ключ на cryptsetup и спать относительно спокойно

а если перехватили пароль, то перехватили и твой аутенфикационный куки, который пришел от гитхаба, и вообще трахнули тебя во все отверстия

а если вторым фактором является почта, или СМС с дырявым SS7 и злономеренный опсос опять тебя поимел?
и кстати если пароль сброшен то ты это как минимум узнаешь, когда попытаешься залогиниться в свою систему
но если ты не доверяешь своей почте (поднимайть хоть свою собственную), то зачем ты регишь на нее аккаунт, если у системы это один из основных каналов коммуникации?

а если ты еще придумаешь какую-нибудь хрень, то советую самому почитать про векторы атаки

второй фактор усложняет атаку пользователя, но абсолютно не является панацеей и уж тем более не является, чем-то обязательным, для обеспечения безопасности, все сугубо индивидуально, и зависит от степени раздолбайства

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 19:14 
> а если перехватили пароль, то перехватили и твой аутенфикационный куки

Пароль можно подсмотреть из-за спины. Куки не перехвачен. У подсмотренного кода TOTP ограничено время действия.
Пароль может быть подсмотрен с бумажки, приклеенной к монитору, то есть перехвачен не в момент ввода, тогда код TOTP злоумышленнику (например, уборщице) не известен.
Думаю, достаточно контрпримеров к твоей самодовольной фигне.

> а если вторым фактором является почта, или СМС с дырявым SS7

Именно, что *вторым* фактором. См. "Управление рисками".

> если пароль сброшен то ты это как минимум узнаешь, когда попытаешься залогиниться

Ага, когда ущерб уже нанесён.

> если ты не доверяешь своей почте

Не всегда есть выбор, кому доверять. Но. Доверяй, но проверяй.

> советую почитать

Обойдусь без советов "эксперта".

> абсолютно не является панацеей

"Соломенное чучело".

> второй фактор усложняет атаку пользователя

Сочту за признание поражения.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено penetrator , 19-Дек-22 22:55 
что с тобой разговаривать, если ты читать не умеешь

пароль у него из-за спины подсмотреть могут

т.е. у кулхацкера еще и физический доступ к твоей машине есть? )))

векторы атаки, угу, ля ля

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 16:41 
Сперва тоже подумал, что комментарии на Опеннет захватили идиоты. Но потом присмотрелся и обнаружил, что 99% бреда про TOTP генерируется одним единственным Анонимом (61). Видать, какой-то ребёнок порвался, что отобрали любимую конфету.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено ЪУЪнеЪУЪ , 17-Дек-22 22:40 
Местные анонимы те еще дегроды, KepassXC ведь для людей, а не дял овощебазы, вот они и не знают. А паролики хранят в тхт файлике, в запароленом 7z архивчике пароль от которого не меняется с 2010 года.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Максим , 16-Дек-22 16:38 
GitHub не нужен. Храните проекты на своих собственных сайтах, чтобы не плясать под чужую дудку.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 21:18 
Отключайся от интернета, чтобы не плясать под дудку провайдера.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Без аргументов , 17-Дек-22 00:29 
Демагог мамкин
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 19:36 
Ну давай тогда без демагогии расскажи, как независимо подключиться к интернету и независимо в нём хостить что-нибудь. Начни с независимой регистрации подсети, чтобы под дудку RIR не плясать. Потом обсудим независимые IX, независимый пиринг и другие кошерные вещи.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 19:49 
Отключайтесь от Вселенной, чтобы не плясать под дудку Дьявола с его Вторым началом.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Максим , 19-Дек-22 13:42 
Я провайдеру плачу, поэтому в праве требовать от него, если меня что-то будет не устраивать.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 20-Дек-22 18:31 
А провайдер в праве отказать тебе от предоставления услуги и отправить платить в другое место. Особенно актуально в твоей деревне, где провайдер всего один.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Максим , 20-Дек-22 18:44 
Хороший провайдер клиентами не разбрасывается, а плохой нафиг не нужен. А выбор всегда есть.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:20 
Следующий этап - обязательное ношение подгузников.

Очень много случаев недержания у людей, так что это для нашей же безопасности.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:01 
А лучше двухфакторная защита - подгузники и впитывающие трусы.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 02:42 
И смартфон с функцией стирки ультразвуком подобных трусов на подогреве от аккумулятора смартфона.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:40 
Предлагаю двухфакторную аутентификацию такого плана:
первый фактор - пароль или ключ SSH
второй фактор - подпись PGP
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 21:18 
Начинай реализовывать! Как реализуешь — сразу же внедряй!
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 17:59 
Какая-то перепись инфантилов, которые думают, что им все должны, что 2FA это коды по смс и почте, а про RFC6238 не слышали вообще. Экспертиза опеннет, который мы заслужили.

Майкрософт всё правильно делает. Я бы ещё для публичных опенсорс-проектов с >10 разработчиков ввёл безальтернативное требование хардварных токенов и подписи коммитов в main. Обезьяны, которым наплевать на безопасность своего проекта и его пользователей пусть к Дрю в его загон для фриков перебираются.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 18:27 
>Майкрософт всё правильно делает.

Обязаловка для ВСЕХ - это не правильно. Обезьяны, которые дрочат на двухфакторку и хардварные токены пусть перебираются в загон к криптошизикам.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 21:21 
А обязаловка логин и пароль вводить нигде не жмёт? Может HTTPS поджимает где-нибудь, нет? На Гитхабе мёдом не намазано и никто не заставляет им пользоваться. И локалхост у тебя тоже никто не отбирает.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 02:22 
Мои программы хоть мёдом и намазаны, но лицензию читать надо. А там написано AS IS, если не нравится, что у меня нет 2FA - не используй мою програмы и либы. Если M$ так заботится о безопасности, то могла бы просто плашку вывести, что у меня нет 2FA, добро пожаловать страшные хакеры, пойдите попробуйте взломайте этого чела, у него видите-ли 2FA нет.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 22:07 
Правильно. Всякие раки с Авито уже посланы в лес. Эти твари ещше и лгут нагло мол типа ничего не знаем вы сами врубили двухфакторную аутентификацию в аккаунте без номера телефона прибитого гвоздями. Как будто все сидят на смартфонах когда можно иметь проводной интернет и общаться по телеге какой-нибудь с компа потому как уроды покоя не дадут даже поздно вечером когда им надо.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено fuggy , 16-Дек-22 23:23 
Всё правильно делают. Они же не хотят чтобы на них пеняли как на npm. Где тоже недавно ввели двухфакторку. А то до этого сопровождающие пакетов на миллионы скачиваний имели пароль уровня 1234 и всем было норм.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено penetrator , 17-Дек-22 05:21 
ага т.е проблемы дегенератов с паролями 1234 будут решаться за счет адекватных мейнтенеров?
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Без аргументов , 17-Дек-22 00:32 
Инфантилы это те, которые слепо и безответственно кушают очередные клетки и прочие crates.io.
Криптофашист какой-то.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 19:52 
Хорошая инициатива. Единственное, жаль что не со следующего понедельника.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено YM2608 , 16-Дек-22 20:16 
задрала уже всеобщая двухфакторная аутентификация
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Реальный пацан , 16-Дек-22 21:41 
Номер телефона требуют? Или это не обязательно?
Если только oauth то как-то с этим жить ещё можно.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 16-Дек-22 22:09 
>Номер телефона требуют?

Для двухфакторки? Нет, не обязательно. Я обязательную привязку номера телефона видел только в коммунистическом Китае с его аналогом гитхаба gitee.com, то есть там залогиниться можно по обычному паролю, но для публикации кода требуют телефон.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 11:09 
> для публикации кода требуют телефон

что и требовалось сказать первым предложением.

"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 19:52 
Судя по описанию, покруче чем GitLab будет. Но https://gitee.com/terms на китайском - сразу ффтопку.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 17-Дек-22 07:59 
О! Нет мобилы - не разработчик.
Ништяк подход. :-)
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Прохожий , 19-Дек-22 08:21 
Необходимость использования мобильного приложения для 2FA не означает необходимость иметь мобилу (дам подсказку, потому что сам, похоже, вряд ли додумаешься - пользуйся виртуальной машиной). Кроме того, можно не пользоваться и мобильными приложениями, если есть аппаратный ключ.
"GitHub объявил о внедрении в следующем году всеобщей двухфак..."
Отправлено Аноним , 18-Дек-22 20:53 
следующим шагом будет небинарная идентификация