The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GitHub вводит верификацию устройств, при неактивной двухфакторной аутентификации

02.07.2019 13:26

Сервис GitHub сообщил об изменении организации входа пользователей, у которых в настройках не включена двухфакторная аутентификация. Для таких пользователей вводится дополнительная верификация, в соответствии с которой система запоминает устройства, с которых осуществляется вход и допускает работу только с них.

Если устройство ранее не было верифицировано, на email пользователя отправляется код подтверждения входа, который нужно ввести при аутентификации. Если вход производится с уже ранее верифицированного устройства достаточно заполнить свои учётные данные.

  1. Главная ссылка к новости (https://github.blog/changelog/...)
  2. OpenNews: GitHub запустил сервисы финансовой поддержки и информирования об уязвимостях
  3. OpenNews: GitHub ввёл в строй реестр пакетов, совместимый с NPM, Docker, Maven, NuGet и RubyGems
  4. OpenNews: Фонд Apache перевёл свои Git-репозитории на GitHub
  5. OpenNews: Анализ утечек конфиденциальных данных через репозитории на GitHub
  6. OpenNews: GitHub меняет политику конфиденциальности и условия соблюдения санкций
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: github, auth
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (133) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:33, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    что-то я не пойму, их точно microsoft купила?

    Потому что все больше похоже что их купил гугль. (или это уже одно и то же?)

     
     
  • 2.4, Ключевский (?), 13:42, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    При чем тут Google или Microsoft? В качестве второго фактора используется TOTP, стандарт описанный в RFC. Ты можешь взять FreeOTP от RedHat или написать свое приложение для этих целей. Коды генерируются в оффлайне(у любого из приложений) и никто их кроме тебя не получает. Аналогично работает второй фактор хоть у Гугла, хоть у NameCheap, хоть у черта лысого.
     
     
  • 3.24, пох. (?), 14:30, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    For GitHub, the second form of authentication is a code that's generated by an application on your mobile device or sent as a text message (SMS).

    так что кончай врать

    у гугла, говоришь, аналогично? Ну, собственно, да - телефон он зачем-то хочет.

     
     
  • 4.41, KonstantinB (ok), 15:09, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Там самый обычный TOTP.

    Телефон на самом деле не нужен. Распознаешь QR-код чем хочешь, берешь http://www.nongnu.org/oath-toolkit/ и делаешь так:

    oathtool --totp -b YOUR_SECRET_FROM_QR

     
     
  • 5.46, AnonPlus (?), 15:18, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Но AndOTP удобнее всего (под андроид).
     
     
  • 6.72, Kuromi (ok), 17:26, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Есть еще под андроид FreeOTP (или его форк FreeOTP+), эти вообще опенсорц.
     
     
  • 7.117, Аноним (117), 02:37, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    AndOTP тоже открытый
     
  • 5.54, пох. (?), 15:57, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Там самый обычный TOTP.

    там его предлагают лишь как опцию - а 90% этой "двухфакторной" - по факту окажется sms.
    В частности и потому что для этого не нужно распознавать какие-то дурацкие коды.

     
     
  • 6.59, Аноним (59), 16:21, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    QR не дурацкие, а намного более фундаментальная и перспективная вещь, чем кажется.

    В первую очередь потому, что это статический визуальный макроскопический источник инфы, а не какие-то невидимые NFC. Но да это оффтоп. SMS конечно не нужны

     
     
  • 7.104, пох. (?), 22:27, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > QR не дурацкие, а намного более фундаментальная и перспективная вещь, чем кажется.

    ага - весь их смысл в том, что ты их не можешь прочитать, а вот твой карманный зонд - может.

     
     
  • 8.105, имя (?), 22:38, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это уже прогресс по сравнению с длинной base64-бнопней, которую что человек, что... текст свёрнут, показать
     
     
  • 9.136, пох. (?), 20:16, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну был же вариант, использовавшийся в one-true-otp - s key к счастью, до него у... текст свёрнут, показать
     
  • 4.143, aim (ok), 18:32, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    просто mobile device это common thing. по хорошему если ты отвественный парень ты заводишь совсем ОТДЕЛЬНЫЙ девайс для того чтобы такие пароли генерировать.
     
  • 3.67, Kuromi (ok), 17:12, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На ГитХабе есть, кстати, поддержка U2F (залочена под Хром, правда). Обещают что выкатят WebAuthn, но когда...
    В общем, кто не хочет возиться с кодами - варианты есть.
     
     
  • 4.85, Keklola (?), 18:36, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лиса тоже u2f умеет
     
     
  • 5.107, Kuromi (ok), 23:20, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Лиса тоже u2f умеет

    Лиса - умеет, но многие сайты, в тоv числе и Гитхаб  просто не дает такой опции если у тебя не Хром. Сейчас Лиса вообще по умолчанию включила U2F поддержку назад, хотя расширять её они не собираются.

    Вот что выдает в Лисе

    "This browser doesn’t support the FIDO U2F standard yet. We recommend updating to the latest Google Chrome to start using security key devices."

     
  • 2.33, Аноним (33), 14:41, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Майкрософт, майкрософт. Они "телеметрию", в том числе на своих сайтах (вы не сможете прочитать KB-страницы без JS, а скачать Студию - и подавно) и в своей рекламе на чужих сайтах (через AdSense, пруфы недавно проскакивали не помню где, вроде на Хабре) больше Гугла любят.
     

  • 1.2, Аноним (2), 13:39, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Двухфакторная недостаточно безопасна. Предлагаю 99-факторную авторизацию: пароль + SMS + TOTP + емейл + бумажное письмо + сигнальная ракета + включение телевизора в определенное время на определенном канале + посыл радиосигнала по определенной одноразовой частоте + физическая явка по определенным GPS-координатам + ...
     
     
  • 2.6, Sluggard (ok), 13:43, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ...4 фотографии, дактилоскопия, сканирование сетчатки, анализ ДНК.
     
     
  • 3.16, Аноним (16), 14:04, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Глубокий внутренний отпечаток прямой кишки, очень надёжный с точки зрения безопасности метод, никто не сможет сфотографировать и попробовать обмануть систему аутентификации, даже 3D-модель не сделают, без вашего ведома, для идентификации предусмотрен специальный ректальный-зонд-сканер-манипулятор (благо на мысль 11ая серия 5го сезона популярного, одно время, в молодёжной среде, анимационного сериала South Park), новое поколение, конкуренты пусть плетутся позади, со своими FaceID!
     
     
  • 4.40, Groosha (?), 15:09, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для идентификации предусмотрен специальный
    > ректальный-зонд-сканер-манипулятор (благо на мысль 11ая серия 5го сезона популярного,
    > одно время, в молодёжной среде, анимационного сериала South Park), новое поколение,
    > конкуренты пусть плетутся позади, со своими FaceID!

    Так и в самой первой серии такое было. Cartman gets an anal probe.

     
  • 4.146, Qwerty (??), 13:18, 05/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >но время, в молодёжной среде, анимационного сериала South Park

    Вы так и не вышли из этой среды, очевидно. Ничего, сентябрь близко.

     
  • 3.68, Kuromi (ok), 17:13, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это называется WebAuthn с авторизацией по биометрии. Как бы стандарт уже.
     
     
  • 4.79, Аноним (79), 18:01, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    WebAuthn - не о биометрии. По биометрии идёт аутентификация юзера устройству. А WebAuthn вообще эту тему не затрагивает кроме как "должна быть хоть просто кнопкой".
     
     
  • 5.108, Kuromi (ok), 23:27, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > WebAuthn - не о биометрии. По биометрии идёт аутентификация юзера устройству. А
    > WebAuthn вообще эту тему не затрагивает кроме как "должна быть хоть
    > просто кнопкой".

    Эээ, и да и нет. WebAuthn как раз таки прописывает в том числе авторизацию аутентификатора, в этом его отлчичие от U2F. Это в U2F достаточно кнопки, а WA в целом предпологает что, например, USB кому попало кнопку нажимать не даст. Тоже самое в например в реализации на базе TPM модулей - ключ хранится в TPM, но авторизация на доступ к нему в том числе по биометрии.

    Напрямую, конечно, Webauthn биометрию НЕ описывает и не будет никакого "логин на сайт по отпечатку пальца", но то КАК был активирован аутентификатор - кнопкой, пином или биометрией сайтам передается.

     
     
  • 6.123, Аноним (79), 11:25, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за пояснение. Это полная жопа.
     

  • 1.3, Х (?), 13:41, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как устройство отличать?
     
     
  • 2.10, Sluggard (ok), 13:44, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://ru.wikipedia.org/wiki/Цифровой_отпечаток_устройства
     
  • 2.43, Аноним (43), 15:12, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кукой
     
  • 2.86, Аноним (86), 18:53, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >А как устройство отличать?

    А это они у дурова спросят, его телега же мало того, что просит спалить номер телефона, так ещё и к устройству привязывается, "секурность" во все поля, защита тащ. майора от глупых попыток хомячка быть самым секурным и приватным, пусть хомячок думает, что его поползновения никому не известны, возможно некрософты вдохновились, решили подхватить тренд по "суперсекурности"?

     

  • 1.5, Аноним (5), 13:42, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Просто замечательно, кто избегал двухфакторной верификации по разным причинам, тому навязали ещё одну вариацию заднепроходного метода аутентификации
     
     
  • 2.9, Ключевский (?), 13:44, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA с использованием TOTP?
     
     
  • 3.15, Ordu (ok), 13:55, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Недоверие github'у. Ему не нужен мой номер телефона. По-хорошему, ему и почта не нужна моя. И адрес проживания. И данные паспорта. Это не его дело.
     
     
  • 4.18, Ключевский (?), 14:09, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А он и не просит твой номер телефона. И паспорт не просит. И адрес проживания.
    Чудеса!
    Ты не хочешь ему их давать и он их не просит

    https://tools.ietf.org/html/rfc6238
    Читай
    https://freeotp.github.io/
    Проверяй исходники и используй

    TOTP работает оффлайн, у меня вот специально стоит на мобиле на которой никогда не было инета и все прекрасно пашет.

     
     
  • 5.48, Ordu (ok), 15:22, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Ах, вот оно как Но мне лень читать и вникать, есть где-нибудь краткое и понятно... большой текст свёрнут, показать
     
     
  • 6.71, Mail (?), 17:22, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Но мне лень читать и вникать...

    poor schoolboy!

     
     
  • 7.75, Ordu (ok), 17:34, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >>> Но мне лень читать и вникать...
    > poor schoolboy!

    Да-да, я очень страдаю. Но тебе ведь тоже лень: ты ведь не может описать в двух словах идею, потому что тоже не читал. Так что я не только страдаю, но ещё и тебе сочувствую. Камрад по несчастью.

     
     
  • 8.87, Капитан Очевидность (?), 18:58, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я читал Идея нетривиальна, поэтому в 171 двух словах 187 её не описать 82... текст свёрнут, показать
     
     
  • 9.90, Ordu (ok), 19:15, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Совершенно бесполезно Нетривиальную идею на семь страниц никто кроме нердов чит... текст свёрнут, показать
     
     
  • 10.91, Аноним (91), 19:59, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Выключай компьютер ... текст свёрнут, показать
     
     
  • 11.98, Ordu (ok), 20:20, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тебе надо, ты и выключай ... текст свёрнут, показать
     
     
  • 12.101, Аноним (91), 21:27, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так это ты выступаешь против нетривиальных идей и считаешь что они никому не нуж... текст свёрнут, показать
     
     
  • 13.106, Ordu (ok), 23:13, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так это ты используешь такой приём как обобщение совершенно не понимая границ ег... текст свёрнут, показать
     
     
  • 14.111, Аноним (111), 00:08, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И где тут границы Так что выключай ты ... текст свёрнут, показать
     
     
  • 15.114, Ordu (ok), 01:37, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты должен их увидеть сам Я могу предложить тебе алгоритм действий 1 Прочитай ... текст свёрнут, показать
     
  • 9.140, Урри (?), 12:17, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если вы не можете объяснить ребенку в двух словах суть явления - значит вы сами ... текст свёрнут, показать
     
  • 4.19, Ключевский (?), 14:10, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Недоверие github'у. Ему не нужен мой номер телефона. По-хорошему, ему и почта
    > не нужна моя. И адрес проживания. И данные паспорта. Это не
    > его дело.

    И, да, так как они — коммерческая организация, то для биллинга им твой адрес и твои данные нужны. Но пока ты пользуешься бесплатной частью с тебе никто ничего не просит и даже не намекает(а на платную у тебя все равно денег нет)

     
     
  • 5.47, Ordu (ok), 15:19, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Но пока ты пользуешься бесплатной
    > частью с тебе никто ничего не просит и даже не намекает(а
    > на платную у тебя все равно денег нет)

    Если мне понадобиться платная, то я точно не буду пользоваться github. Если для меня является рациональным платить за хостинг сорцов, то ещё более рационально хостить их самостоятельно.

     
     
  • 6.64, пох. (?), 17:03, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    "хостинг сорцов" и сосальная сеточка для нового поколения разработчиков, не умеющих ни в мэйллисты ни в irc - это сильно разные вещи.

    Хостить второе самостоятельно (защищая от спама, досов и обеспечивая надежность доступа) - работа, для программиста несколько не основная, и вряд ли твоей квалификации хватит на собственный гитшлак.

    А кое-как поставить gogs (или даже gitlab/ce, хотя там уже интересней) ты, конечно, сможешь.

     
     
  • 7.69, Ordu (ok), 17:13, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ой, иди рекламируй свою квалификацию где-нибудь в другом месте. Тебя я точно нанимать на эту работу не буду. Нахрен ты кому сдался такой.
     
  • 4.23, Аноним (23), 14:30, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    какие же гении в этом треде.
    Объясняю популярно.
    Отсканировать QR-код и потом получать одноразовые пароли можно где угодно, от яндекс.ключа до бесплатной и опенсорсной FreeOTP.
    Если вообще не хочешь использовать смартфон для этой цели - выбери пароль вместо QR-кода и введи его например в keepassxc.

    Если не хочешь хранить пароли даже в своем компе, заведи себе юбикей и используй U2F

     
     
  • 5.27, товарищ майор (?), 14:34, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > заведи себе юбикей

    я вот тебе заведу неразрешенное министерством любви средство шифрования!

     
     
  • 6.29, Andrey Mitrofanov_N0 (??), 14:38, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>юбикей
    >средство шифрования!

    Выдыхай, майор, выдыхай.

     
  • 5.38, Crazy Alex (ok), 14:52, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ...а потом эту ерунда каждый раз вводи, угу. Не нужно оно мне, "взломают" - да вперёд, ничего ценного там нет.

    В общем,Ю ровно те же причины, которые побуждают пользоваться bugmenot и mailinator и ставить пароли 123456.

     
     
  • 6.51, имя (?), 15:45, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ...а потом эту ерунда каждый раз вводи, угу. Не нужно оно мне, "взломают" - да вперёд, ничего ценного там нет.

    Это ты думаешь, что там ничего ценного нет, и что код ты можешь перезалить куда хочешь, а тем временем какой-то индус уже давно качает его по зависимости прямо из мастера и не подозревает, что репозитории можно угонять ради подстановки в него майнеров и логеров.

     
     
  • 7.53, Crazy Alex (ok), 15:52, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    99% аккаунтов - это одноразовые клоны, с которыми вообще ничего не происходит. Хоть подставляй в них майнеров, хоть нет
     
     
  • 8.58, имя (?), 16:08, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато оставшийся процент, если в него попасть пусть даже случайным образом, по пи... текст свёрнут, показать
     
  • 7.65, Аноним (65), 17:04, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мне лучше знать, есть там что ценное или нет. Пошли наxер со своей "принудительной заботой".
     
     
  • 8.78, имя (?), 18:01, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, тёть Клава тоже так говорила, пока ей фоточки из отпуска не пошифровали ... текст свёрнут, показать
     
  • 8.92, Аноним (91), 20:03, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как минимум там есть вычислительные ресурсы github которыми ты бесплатно пользуе... текст свёрнут, показать
     
  • 7.145, Аноним (145), 06:31, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >же давно качает его по зависимости прямо из мастера

    Должны страдать

     
  • 5.73, Kuromi (ok), 17:30, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Чисто для проформы дополню, что есть некоторые сервисы, которые используют кастомизированные генераторы и требуют специальный софтин. Там стандартные реализации вроде FreeOTP могут не заработать.
    Тот же HumbleBundle если не ошибаюсь использовал  Authy или что-то в этом роде, но вернулся на Google Authenticator (стандартный TOTP). У NameCheap была сходная история.
     
  • 3.22, пох. (?), 14:28, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA
    > с использованием TOTP?

    причина банальна - нежелание связываться с оверинжиниренной ненужной хней, затрудняющей рутинную операцию - логин в аж целый гитхап.

    а если у них утекают пароли - то извините, ребята, но по-моему эта проблема должна решаться совсем с другого конца.

     
     
  • 4.93, Аноним (91), 20:05, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С какого? Пароли утекают у пользователей, как её решить кроме 2FA?
     
     
  • 5.115, хотел спросить (?), 02:25, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если пароли утекают у разработчиков софта (а остальные меня мало на гитхабе интересуют), то таким разработчикам нефиг делать на гитхабе. И вообще они вовсе и не разработчики и поделки их не нужны.
    Но как говорится в случае если уж кому-то прям хочется то они могут использовать 2FA.
    А вот навязывать вское ненужно абсолютно всем - точно не айс. Я сам о себе могу позаботиться.

    Короче лед тронулся... Я думаю все-таки мс добрался и до гитхаба со своей заботой.

     
     
  • 6.141, Урри (?), 12:21, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Разработчик софта (например, кулинарной книги) не обязан быть специалистом по секурности.
     
     
  • 7.144, хотел спросить (?), 03:01, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Разработчик софта (например, кулинарной книги) не обязан быть специалистом по секурности.

    если он разработчик, то как минимум базовые понятия имеются, а еще аналитические способности (хотя бы минимальные)

    в противном случае пусть лучше занимается контентом кулинарной книги, а не логикой и алгоритмами (пусть даже и примитивными), которые лучше доверить соответсвующему специалисту самого заурядного уровня

     
  • 3.32, Аноним (32), 14:41, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Необходимость покупать телефон и помнить, что с него нужно иногда звонить, чтобы не отобрали номер.
     
     
  • 4.94, Аноним (91), 20:06, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для TOTP телефон не нужен.
     
     
  • 5.112, Аноним (112), 00:21, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Смотри следующий комментарий про почту :)
     
  • 3.35, Аноним (32), 14:43, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А почту на mail.ru не ломал только ленивый.
     
  • 3.37, Crazy Alex (ok), 14:49, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Например - нежелание морочить голову. А аккаунт создан для мелких удобств и что там утечёт - вообще плевать, новый заведу, если в течение минуты на емейл пароль новый не придёт.
     
  • 3.42, Аноним (42), 15:11, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А что за причины кроме желания быть взломанным при утечке пароля могут быть для отказа от 2FA с использованием TOTP?

    Потеря доступа к аккаунту при потере второго фактора аутентификации.

    Примеры:
    * Украли/сломалось устройство, на котором второй фактор.
    * Аккаунтом пользуюсь редко, забыл, какой у меня второй фактор, или случайно снес аутентикатор, или забыл пароль на аутентикатор, или OTP присылаются пачкой кодов и эти коды устарели.
    * Перестал работать провайдер второго фактора, например обанкротился, или просто забил, или временно глючит когда очень надо, или поменял формат кодов. Особенно весело в сочетании с предыдущим пунктом.

     
     
  • 4.55, пох. (?), 16:00, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Потеря доступа к аккаунту при потере второго фактора аутентификации.

    там обещают что его тебе восстановят, как только ты введешь секретный-пресекретный код (который, ну конечно же, не могут спереть точно так же как и пароль - но зато его вполне можно потерять вместе с диском/флэшкой - и остаться без доступа к акаунту в принципе)

    и так у этих - все.

     
  • 4.70, Kuromi (ok), 17:22, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Украли сломалось устройство, на котором второй фактор Резервные копии генера... большой текст свёрнут, показать
     
     
  • 5.113, Аноним (112), 00:28, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вот у меня сегодня (точнее, уже вчера) случилось. Месяц назад полетел домашний компьютер, где хранились данные для логина на бесплатную почту. Почтой этой сейчас практически не пользуюсь — там только спам, но активно пользовался, когда регистрировался на Гитхабе 5 лет назад. Поэтому чинить не торопился — хватало рабочего компа и планшета. Сегодня полез по работе отправить пачку багрепортов через Гитхаб — получил отлуп. Пароль к бесплатной почте не помню, а Гитхаб со всех устройств меня разлогинил. Первый час ночи, а я всё ещё колдую над битым диском, пытаясь извлечь пароль.
     
  • 2.14, Большой Брат (?), 13:51, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Будем верифицировать прямо по их железкам, раз не хотят они светить свой номер телефона, а то иш умники нашлись, данными делиться не хотят, пополнять свой профиль в досье у Большого Брата, такого допустить никак нельзя, мы должны заставить их думать о своей безопасности и всячески напирать на это, а то ведь, так не ровён час они могут подумать, что все эти методы, не более чем повод для сбора данных...
     
     
  • 3.20, Ключевский (?), 14:11, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Будем верифицировать прямо по их железкам, раз не хотят они светить свой
    > номер телефона, а то иш умники нашлись, данными делиться не хотят,
    > пополнять свой профиль в досье у Большого Брата, такого допустить никак
    > нельзя, мы должны заставить их думать о своей безопасности и всячески
    > напирать на это, а то ведь, так не ровён час они
    > могут подумать, что все эти методы, не более чем повод для
    > сбора данных...

    Еще один. Для 2FA НЕ ТРЕБУЕТСЯ НОМЕР ТЕЛЕФОНА. Ты и твой телефон им не интересны.
    https://tools.ietf.org/html/rfc6238
    https://freeotp.github.io/

     
     
  • 4.26, пох. (?), 14:33, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    а гитхап так не думает.

     
     
  • 5.44, KonstantinB (ok), 15:14, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    На гитхабе инструкция для идиотов. Никто не мешает не быть идиотом.
     
     
  • 6.56, пох. (?), 16:03, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не быть идиотом - это не использовать дурацкие наслоения аутентификации, когда и пароль защищает ее вполне надежно. Ну, при минимальных телодвижениях с той стороны, хоть как-то затрудняющих его прямой подбор или просто угон.

    но это немодно, нестильно и немолодежно

     
     
  • 7.74, KonstantinB (ok), 17:31, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да нифига он не надежно защищает. Никакой внимательности не хватит каждый раз проверять сертификат. Про истории с выдачей сертификатов кому попало и про перенаправление трафика куда попало более специфичными BGP-анонсами напомнить или не надо?
     
     
  • 8.102, пох. (?), 22:17, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    лучше просто подскажи, где я могу недорого без sms купить сертификат аль ой, ... текст свёрнут, показать
     
     
  • 9.120, ызусефещк (?), 09:04, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Перенаправил домен, используй летенкрипт... текст свёрнут, показать
     
  • 7.77, KonstantinB (ok), 17:36, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Помимо того, утечка может быть и не с моей стороны вообще. Ты удивишься, сколько еще идиотов хранят банально md5(pass) или sha1(pass) в своих базах.

    Мне вот регулярно валится вдохновленный Black Mirror спам вида "чувак, твой пароль XYZ123, а я его знаю, потому что затроянил твой комп и у меня есть видео, как ты наяриваешь на прон, высылай 100500 биткоинов или его всем разошлю". По тому, какие там пароли, прекрасно понятно, откуда оно взялось. :)

     
     
  • 8.84, Аноним (84), 18:28, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Т е проблема на стороне кода, но решают её за счёт пользователей Что-то здесь ... текст свёрнут, показать
     
     
  • 9.103, пох. (?), 22:22, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    о том и речь в консерватории надо бы поправить, для начала-то впрочем, не иск... текст свёрнут, показать
     
     
  • 10.130, KonstantinB (ok), 15:19, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот у меня много ценного и нужного, правда, не мне лично, заказчик использует... текст свёрнут, показать
     
     
  • 11.132, пох. (?), 19:56, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну так скажи ему, чтоб мой пароль больше не трогал, и свой, отдельный выдумал и ... текст свёрнут, показать
     
  • 9.129, KonstantinB (ok), 15:16, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С гитхаба, справедливости ради, не утекало Вот дропбокс обделался по полной ... текст свёрнут, показать
     
  • 4.63, Оче Видец (?), 16:46, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Конечно не требуется, теперь им хочется НОМЕР ПЛАНШЕТА
     

  • 1.17, Ivan_83 (ok), 14:07, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Такие меры как будто гитхуб акк это что то ценное, как счёт в банке.

    Будут затягивать гайки - есть гитлаб и всегда можно расшарить в инет gitea со своего хостенга.

     
     
  • 2.21, пох. (?), 14:26, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ну вообще-то поломав какой-нибудь интересный акаунт - можно получить доступ не к одному чужому счету в банке.

    другое дело, что надежнее оно от этого ни разу не станет, а вот ты не сможешь попасть в свой акаунт, оказавшись где-то далеко от своей почты, потому что большой брат снова позаботился о твоей безопастносте.

     
     
  • 3.88, Капитан Очевидность (?), 19:04, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >ты не сможешь попасть в свой акаунт, оказавшись где-то далеко от своей почты

    Я пытаюсь себе представить эту ситуацию и не могу. Можешь набросать реалистичный сценарий?

     
     
  • 4.89, Аноним (32), 19:07, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Доступ к исходникам нужен сегодня, почтовый сервис в бане по маске IP, а на надёжный прокси или VPN деньги будут только через месяц.
     
     
  • 5.95, пох. (?), 20:10, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Доступ к исходникам нужен сегодня, почтовый сервис в бане по маске IP,

    мы с вами просто забыли, что типовой опеннетчик под словом "почта" понимает исключительно гугль и гугль.
    Который, кстати, тоже может прислать вам sms "обнаружив подключение с неизвестного устройства" - на телефон, у которого нет роуминга в этой стране, или который вообще из дома не выносится, именно потому что там всякие sms и банковские учетки, и лучше временно не иметь к ним доступа, чем восстанавливать потом.

    > а на надёжный прокси или VPN деньги будут только через месяц.

    или банально в китае он зобанен.
    У меня еще более банальный вариант: в почте много всего разного, поэтому она вообще недоступна ниоткуда, кроме доверенных хостов. А вот в акаунтах на гитхапе у меня кроме issues в чужие проекты - ничего нет, мои собственные поделки как-нибудь обойдутся без их ценной помощи.

    В результате заслать issue не получилось, ну что же - шва...халявный софт проживет без патчей.
    Зато безопасТно!

     
     
  • 6.100, имя (?), 21:16, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > типовой опеннетчик под словом "почта" понимает
    > исключительно гугль и гугль.
    > Который, кстати, тоже может прислать вам sms

    так-то гуглоаккаунт тоже можно обмазать totp вместо sms, но это ж читать уметь надо, однако.

     
     
  • 7.109, Аноним (109), 23:33, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хм… Гм… А куда они, собственно, засунули TOTP? Раньше было, а сейчас предлагают на выбор только 2FA по телефону (SMS или звонок), электронному ключу и снова телефону (push-уведомление).
     
  • 7.116, хотел спросить (?), 02:33, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    где-то неделю назад это говно у них сломалось

    починили только на следующий день после отписки в саппорт

     
  • 2.36, Аноним (33), 14:47, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У гитлаба рекапча с аггрессивным фингерпринтингом. Также они сами делают фингерпринтинг, в своём купленном гиттере. Хорошо хоть что опенсорс, а могли бы и обфусцировать.
     

  • 1.25, ixrws (??), 14:30, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Непонятно, почему они все мелочатся до сих пор. Почему сразу не ввести обязательный вход только по паспорту, паспорт делать в виде карточки со встроенным сканером отпечатка пальца для активации паспорта. Просто при любой аутентификации прикладываешь такой паспорт, на паспорт палец, ну ещё можно добавить обязательное произношение - клянусь царя и бога хранить.

    Всё равно же к этому ведут, зачем тормозить? Нужно решительнее внедрять старые добрый лагерь во все поля.

     
     
  • 2.34, Ключевский (?), 14:42, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Всё равно же к этому ведут, зачем тормозить? Нужно решительнее внедрять старые
    > добрый лагерь во все поля.

    В каком месте 2FA TOTP к этому ведет? Покажи, а мы поржем.

     

  • 1.49, Аноним (49), 15:29, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Куда катится этот мир...
     
  • 1.50, Michael Shigorin (ok), 15:35, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    not affected (c) :]
     
     
  • 2.62, пох. (?), 16:43, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > not affected (c) :]

    возвращать патчи в апстримы вы, я смотрю, уже не собираетесь?

     
     
  • 3.81, Аноним (81), 18:03, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В апстрим linux патчи возвращают через рассылку же.
     
     
  • 4.96, пох. (?), 20:16, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В апстрим linux патчи возвращают через рассылку же.

    это ж только ведро. А так - https://github.com/systemd/systemd/issues добро пожаловать! ;-)
    Кстати, зелененькие бэджи со всякими code quality A+ для печально известной поделки (как и coverity issue - пацанам - можно!) говорят об их истиной цене ;-)


     
     
  • 5.121, Аноним (81), 10:01, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> В апстрим linux патчи возвращают через рассылку же.
    > это ж только ведро.

    Достаточно для опровержения обобщения.

    > А так - https://github.com/systemd/systemd/issues добро пожаловать!

    Так в недавней новости про СтатерКит не было systemd.

    > ;-)
    > Кстати, зелененькие бэджи со всякими code quality A+ для печально известной поделки
    > (как и coverity issue - пацанам - можно!) говорят об их
    > истиной цене ;-)

     
  • 2.80, Аноним (81), 18:02, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Альт случаем не планирует (или я не нашёл?) предоставлять подобный сервис? У Росы есть якобы "замена" github, как они говорят, защищённая от шаловливых ручек -- при этом они сами удалили мои репозиторий с перепугу. (Если что -- интерес праздный.)
     

  • 1.52, user90 (?), 15:47, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хорошо хоть без СМС)) Впрочем, юзверье все схавает, вот я бы долго блевал от.
     
     
  • 2.57, пох. (?), 16:04, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    как то есть без? Это их основной и любимый (гуглем) "2FA".
    Остальные опциональны.
     
     
  • 3.60, user90 (?), 16:27, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы не могли бы раскрыть тему немного подробнее?
     
     
  • 4.61, пох. (?), 16:42, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    в смысле? ВСЕ крупные проекты (и начиная с гугля) при попытке включить двухфакторку - предложат (или сразу вышлют) тебе sms.  

    альтернативы доступны по пятнадцатой ссылке мелким шрифтом двенадцатого уровня вложенности - нет, не со зла, разумеется, а просто потому что феерически неудобны нормальным людям.

     
     
  • 5.82, Аноним (82), 18:11, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А пойти и посмотреть, прежде чем трындеть, не пробовал?
    https://postimg.cc/WtmP0N3s
     
     
  • 6.118, хотел спросить (?), 02:39, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а приложение которое ты ставишь и которое звенит на сервер намного лучше чем номер трубы?
    ты читаешь приваси полиси всяких звонилок которые используешь?
    да там адское кол-во дичи, вплоть до того что смски уходят на их сервера

    хуже только приваси полиси какого-нибудь инстаграма, которым нормальные люди не пользуются

     
     
  • 7.128, Ключевский (?), 14:37, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а приложение которое ты ставишь и которое звенит на сервер намного лучше
    > чем номер трубы?

    На какой сервер? У меня приложение для TOTP собрано мной самим из исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету, ей просто нечем и некуда, в ней нет сим-карт, а паролей к WiFi ей никто не давал.

     
     
  • 8.134, пох. (?), 20:06, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    прекрасно, просто прекрасно Вы прослушали номер больной палаты 6 борется с вс... текст свёрнут, показать
     
  • 8.139, хотел спросить (?), 01:05, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Давай сначала рассмотрим сценарий для непараноиков We recommend using cloud-bas... текст свёрнут, показать
     
  • 7.133, Аноним (82), 20:02, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > а приложение которое ты ставишь и которое звенит на сервер намного лучше чем номер трубы?

    [Приложение][1], которое я ставлю, не звенит ни на какой сервер. Не веришь — посмотри [исходники][2].

    [1]: https://f-droid.org/ru/packages/org.fedorahosted.freeotp/
    [2]: https://github.com/freeotp/freeotp-android

     
     
  • 8.138, пох. (?), 22:10, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а квалификации-то хватит а что это вы скромно молчите про 0 прекрасный totp гу... текст свёрнут, показать
     
     
  • 9.142, Аноним (82), 17:52, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если не хватит, пусть закажет кому-нибудь аудит Потому что это приложение я не ... текст свёрнут, показать
     
  • 5.127, Ключевский (?), 14:35, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > в смысле? ВСЕ крупные проекты (и начиная с гугля) при попытке включить
    > двухфакторку - предложат (или сразу вышлют) тебе sms.

    Ты врешь. Зачем ты это делаешь непонятно. GitHub никаких смс не высылает и номер не просит, он спокойно предлагает использовать TOTP БЕЗ номеров телефонов. Ты — лжец.

     

  • 1.66, Аноним (59), 17:08, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, да тут диванные эксперты собрались! Что, прививки - зло, а воду в банках у телека заряжать норм?
     
  • 1.76, Аноним (76), 17:35, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Почему для "двойной идентификации" нельзя использовать просто второй пароль?
     
     
  • 2.83, Аноним (82), 18:12, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что они у тебя будут записаны на одном стикере.
     
     
  • 3.97, пох. (?), 20:17, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Потому что они у тебя будут записаны на одном стикере.

    но с разных же ж сторон!

     
  • 2.99, Аноним (79), 20:39, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что приказы начальства не обсуждаются. А в ГитХабе теперь Майкрософт начальство.
     
     
  • 3.119, пох. (?), 07:10, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    чо-та по поведению - не складывается (microsoft просто попросила бы вводить live-login - кстати, вы не поверите, никакой 2fa она своим разработчикам не навязывает - хочешь, рожу в камеру суй, а хочешь - не суй)

    Я после всех недавних новостей про m$ уже начинаю нервничать - их точно-точно не покупает гугль вместе с гитшлаком?

     
     
  • 4.124, Аноним (79), 11:30, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А ГХ и не навязывает 2FA. Они просто фингерпринтят и всё.
     
     
  • 5.135, пох. (?), 20:08, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А ГХ и не навязывает 2FA. Они просто фингерпринтят и всё.

    ну здрасьте - "верификация устройств" это не "просто", это "хрен тебе а не логин с этого неведомого устройства - иди-ка второй фактор ищи где хочешь". В минимальном варианте, пока, надо думать, придется добираться до своего email - и горе тем, кто использовал одноразовый. Хазяина желает знать твой реальный мэйл!

     

  • 1.110, Аноним (110), 23:55, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не сказал бы что я был особо высокого мнения о комментаторах, но почитав этот ужас волосы дыбом встают.
     
     
  • 2.131, Аноним (82), 19:55, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > почитав этот ужас волосы дыбом встают

    Не разрешайте своим волосам читать такие ужасы, особенно на ночь.

     

  • 1.122, Аноним (122), 10:04, 03/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Микрософт _возможность_ зонда, пока пока!! ))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру