GitHub c 13 марта 2023 года начнёт требовать от разработчиков подключить двухфакторную аутентификацию Статьи редакции
Если не успеть в срок, доступ к аккаунту ограничат.
- С 13 марта 2023 года GitHub начнёт уведомлять «группы разработчиков и администраторов» о необходимости добавить двухфакторную аутентификацию (2FA). Сперва небольшие, а потом и крупные сообщества получат электронное письмо или увидят соответствующий баннер на сайте.
- После первого уведомления пользователи получат 45 дней на настройку и в течение этого времени будут получать регулярные напоминания. Если разработчик не хочет ждать своей очереди, он может подключить 2FA уже сейчас — с помощью инструкции.
- Способов дополнительной аутентификации несколько — это SMS, ключи безопасности, вход через приложение GitHub Mobile и TOTP (генерация одноразовых кодов). Но компания предупреждает, что SMS считается не самым надёжным вариантом, и советует вместе с ним подключать TOTP.
- В течение 28 дней после подключения GitHub попросит проверить работу 2FA, а в случае ошибки предложит сбросить настройки, не отключая доступ к аккаунту.
- Разработчики, которые не успеют в срок, получат дополнительную неделю на настройку начиная с первого после истечения 45 дней входа в систему. Напоминания будут приходить на протяжении всех семи дней. Если пользователь всё равно не подключит 2FA, ему ограничат доступ к аккаунту.
- О планах обеспечить переход всех пользователей на 2FA до конца 2023 года GitHub объявил в мае 2022-го.
5749
просмотров
А что, есть те, кто ещё не?
я есть) не люблю я эти двухфакторные, потому что если вдруг в будущем что будет с номером телефона - офигеешь доказывать, что ты - это ты, придется все доки какие есть сканировать и слать вместе с фейсом в камере. У меня везде пароли более 20 символов со всякой абракадаброй, имхо хватит, да и не такой я популярный, чтоб пол инета за мной охотилось)
а нах она нужна? У меня за 30 лет пользования компом ни разу не украли ни одного пароля. А с двухфакторкой я постоянно попадаю в какое-то говно, обычно связанное с переездом в другие страны и проблемами поддержания старых ненужных симок в активном состоянии. А иногда вспоминаешь про них через 2-3-5 лет, когда уже поздно что-то восстанавливать
конечно есть, и таких очень много
Подскажите мне такой способ 2FA, который одновременно удовлетворяет следующим условиям:
а) широко поддерживается различными сервисами;
б) потеря которого не приводит к невозможности или запредельной геморройности восстановления доступа;
в) не является СМС.
Вопрос не риторический — я правда не в курсе, но с подозрением отношусь к альтернативным способам 2FA из-за опасений, которые изложил выше.
TOTP + recovery codes
Google Authenticator. Бесплатный, оффлайн, можно забекапить.
Authy 2FA
Bitwarden за 10 долларов в год.
Вроде как в принципе все плюс минус уважаемые менеджеры паролей имеют подобную функцию, но я не уверен.
Кстати майкрософт аутификатор вроде как тоже может синхронизироваться при переносе на устройство другое.
нативный OTP в Safari. всегда в связке, не потеряется
Очередной маразм в жанре security theater.
зато читать весь этот маразм интересно))
Использую во всю Microsoft Auth. Полет нормальный, аккаунты живы.
надо будет тоже эту тему попробовать, я о ней сейчас впервые прочитал
Хорошая тема, использую для авторизации в сервисах Майкрософт, иксбоксом владею, юзаю теперь едж(из-за нового бинга=).
Ого, то без неё много разрабов? Список вывесят, мир должен знать своих героев!
Кто подскажет, есть ли смысл переходить на что-то типа Yubikey, или Google/Microsoft Auth тоже ещё норм?
1password в этом смысле прекрасен. он еще и ssh ключи для гитхаба умеет генерить.
Стоит денег, то он того стоит. 6 лет на нем уже сижу.
иногда пробую остальное, ластпассы, битвардены, кипассы. все на мой вкус сильно хуже.
Если есть проблемы с оплатой могу гифткарту поменять на российские деньги - 100 долларов хватает на два года семейной подписки (вся семья там сидит)
Гугловский норм, работает у меня сильно давно.
мне нравится Bitwarden, он не плох, но для генерации кодов нужна подписка за 10 долларов в год.
Google терпим.
Microsoft Auth интересный, как минимум потому что позволяет авторизоватся без пароля.
Привяжи акк к гитхабу, авторизуйся через него, и пароль в принципе не нужен.
yubikey более богатые возможности по аутентификации предоставляет, только дорогой. Google authenticator бесплатный и только один способ, который нельзя использовать как основной, а только как дополнительный.
Лучше взять открытое решение, например Aegis, ИМХО
Google Auth должен покрыть 99% задач. Если телефон сдохнет/потеряется, то куча геморроя. Большой минус - при получении доступа к телефону все ваши порно ресурсы становятся известными.
Yubikey покрывает оставшийся 1%. Если он сдохнет, то куча геморроя. Мало сервисов, поддерживающих более одного ключа (чтобы второй как бэкап использовать). Часто Yubikey идёт как премиум-фича за отдельные бабосы.
Бонус - при потери yubikey злоумышленник хз на какой сервис его использовать
Я, где возможно, настраиваю и то и то, но использую по умолчанию Yubikey (проще нажать на ключ, чем брать телефон, открывать и т.п..).
SMS стараюсь не использовать вообще.
Если есть элементарные навыки программирования, то можете написать простейший скрипт, который по названию сервиса будет подставлять в поле ввода пароль, на autohotkey это будет примерно вот так.
::gmail.com::qwerty111
::банк.ру::ааа111
Скрипт зашифруйте и запомните один длинный и уникальный пароль. в зашифрованном виде делайте бекап. Чтобы не возиться каждый раз с шифровкой, расшифровкой и бекапом, можно написать еще один простейший скрипт на пару десятков строк.
Это намного надежней, вы не доверяете свои пароли 3 стороне. Работает в любом приложении и вам не надо будет аутентифицироваться в 3 сервисах которые следят за каждым вашим пуком.
Кого в семью 1password?
Bitwarden же, его можно поставить на свой сервер. 1password хранит пароли у себя и забанил русских.
Bitwarden же, его можно поставить на свой сервер. 1password хранит пароли у себя и забанил русских.
двухфакторная аутентификация - штука не простая...что-нибудь забыл/перепутал и никогда не зайдешь
когда придумают что-нибудь еще более геморройное и не удобное?
а им то какая разница будет двухфакторка или нет
"Если пользователь всё равно не подключит 2FA, ему ограничат доступ к аккаунту"-сурово ,но для их же безопасности
а в случае ошибки предложит сбросить настройки
и потом по новой 28 дней ждать и так будет замкнутый круг
Вдруг кто не знает:
В Safari есть менеджер паролей с TOTP (Генератор одноразовых кодов)
Доколе?
Sms просто самый дорогой способ 2Fa
И самый ненадёжный, потому что добавляется риск, что смс не будет доставлена, особенно если вы находитесь не в родной стране вашего оператора.
Интересно, будут звонки от мошенников или нет))
конечно будут, всё в лучшем виде)))
Зато пароль можно забыть, который приходится менять постоянно из-за дырявой головы
Enpass ванлав.
Я вообще не понимаю, в чём повышение безопасности от 2FA, если добавляется ещё одно неконтролируемое пользователем звено:
если оно сломается, я не смогу войти в аккаунт. Прекрасно (нет).
Получается, самый надёжный способ 2fa это госуслуги или сбер айди)