GitHub c 13 марта 2023 года начнёт требовать от разработчиков подключить двухфакторную аутентификацию Статьи редакции

Если не успеть в срок, доступ к аккаунту ограничат.

Источник: Vox
  • С 13 марта 2023 года GitHub начнёт уведомлять «группы разработчиков и администраторов» о необходимости добавить двухфакторную аутентификацию (2FA). Сперва небольшие, а потом и крупные сообщества получат электронное письмо или увидят соответствующий баннер на сайте.
  • После первого уведомления пользователи получат 45 дней на настройку и в течение этого времени будут получать регулярные напоминания. Если разработчик не хочет ждать своей очереди, он может подключить 2FA уже сейчас — с помощью инструкции.
  • Способов дополнительной аутентификации несколько — это SMS, ключи безопасности, вход через приложение GitHub Mobile и TOTP (генерация одноразовых кодов). Но компания предупреждает, что SMS считается не самым надёжным вариантом, и советует вместе с ним подключать TOTP.
  • В течение 28 дней после подключения GitHub попросит проверить работу 2FA, а в случае ошибки предложит сбросить настройки, не отключая доступ к аккаунту.
  • Разработчики, которые не успеют в срок, получат дополнительную неделю на настройку начиная с первого после истечения 45 дней входа в систему. Напоминания будут приходить на протяжении всех семи дней. Если пользователь всё равно не подключит 2FA, ему ограничат доступ к аккаунту.
  • О планах обеспечить переход всех пользователей на 2FA до конца 2023 года GitHub объявил в мае 2022-го.
0
141 комментарий
Написать комментарий...
Апрель Обормотов

А что, есть те, кто ещё не?

Ответить
Развернуть ветку
Стерлядка Вяленая

я есть) не люблю я эти двухфакторные, потому что если вдруг в будущем что будет с номером телефона - офигеешь доказывать, что ты - это ты, придется все доки какие есть сканировать и слать вместе с фейсом в камере. У меня везде пароли более 20 символов со всякой абракадаброй, имхо хватит, да и не такой я популярный, чтоб пол инета за мной охотилось)

Ответить
Развернуть ветку
17 комментариев
Вы в федеральном розыске

а нах она нужна? У меня за 30 лет пользования компом ни разу не украли ни одного пароля. А с двухфакторкой я постоянно попадаю в какое-то говно, обычно связанное с переездом в другие страны и проблемами поддержания старых ненужных симок в активном состоянии. А иногда вспоминаешь про них через 2-3-5 лет, когда уже поздно что-то восстанавливать

Ответить
Развернуть ветку
17 комментариев
Валерий Краснов

конечно есть, и таких очень много

Ответить
Развернуть ветку
Anti Anti

Подскажите мне такой способ 2FA, который одновременно удовлетворяет следующим условиям:

а) широко поддерживается различными сервисами;
б) потеря которого не приводит к невозможности или запредельной геморройности восстановления доступа;
в) не является СМС.

Вопрос не риторический — я правда не в курсе, но с подозрением отношусь к альтернативным способам 2FA из-за опасений, которые изложил выше.

Ответить
Развернуть ветку
Konstantin Safonov

TOTP + recovery codes

Ответить
Развернуть ветку
Vilent

Google Authenticator. Бесплатный, оффлайн, можно забекапить.

Ответить
Развернуть ветку
Dmitrii Ponomarev

Authy 2FA

Ответить
Развернуть ветку
Николай Верегин

Bitwarden за 10 долларов в год.

Вроде как в принципе все плюс минус уважаемые менеджеры паролей имеют подобную функцию, но я не уверен.

Кстати майкрософт аутификатор вроде как тоже может синхронизироваться при переносе на устройство другое.

Ответить
Развернуть ветку
13 комментариев
modelair

нативный OTP в Safari. всегда в связке, не потеряется

Ответить
Развернуть ветку
Val Krylov

Очередной маразм в жанре security theater.

Ответить
Развернуть ветку
Прозектор на удаленке

зато читать весь этот маразм интересно))

Ответить
Развернуть ветку
1 комментарий
Yury Grinev

Использую во всю Microsoft Auth. Полет нормальный, аккаунты живы.

Ответить
Развернуть ветку
Павел Рудой

надо будет тоже эту тему попробовать, я о ней сейчас впервые прочитал

Ответить
Развернуть ветку
Николай Верегин

Хорошая тема, использую для авторизации в сервисах Майкрософт, иксбоксом владею, юзаю теперь едж(из-за нового бинга=).

Ответить
Развернуть ветку
Вадим Д.

Ого, то без неё много разрабов? Список вывесят, мир должен знать своих героев!

Ответить
Развернуть ветку
Artur Kuramshin

Кто подскажет, есть ли смысл переходить на что-то типа Yubikey, или Google/Microsoft Auth тоже ещё норм?

Ответить
Развернуть ветку
Sergey Klochko

1password в этом смысле прекрасен. он еще и ssh ключи для гитхаба умеет генерить.
Стоит денег, то он того стоит. 6 лет на нем уже сижу.
иногда пробую остальное, ластпассы, битвардены, кипассы. все на мой вкус сильно хуже.

Если есть проблемы с оплатой могу гифткарту поменять на российские деньги - 100 долларов хватает на два года семейной подписки (вся семья там сидит)

Ответить
Развернуть ветку
15 комментариев
Вадим Д.

Гугловский норм, работает у меня сильно давно.

Ответить
Развернуть ветку
3 комментария
Николай Верегин

мне нравится Bitwarden, он не плох, но для генерации кодов нужна подписка за 10 долларов в год.

Google терпим.

Microsoft Auth интересный, как минимум потому что позволяет авторизоватся без пароля.

Привяжи акк к гитхабу, авторизуйся через него, и пароль в принципе не нужен.

Ответить
Развернуть ветку
11 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
10 комментариев
Ilia Kaygorodov

Лучше взять открытое решение, например Aegis, ИМХО

Ответить
Развернуть ветку
Свежий пирожок

Google Auth должен покрыть 99% задач. Если телефон сдохнет/потеряется, то куча геморроя. Большой минус - при получении доступа к телефону все ваши порно ресурсы становятся известными.

Yubikey покрывает оставшийся 1%. Если он сдохнет, то куча геморроя. Мало сервисов, поддерживающих более одного ключа (чтобы второй как бэкап использовать). Часто Yubikey идёт как премиум-фича за отдельные бабосы.
Бонус - при потери yubikey злоумышленник хз на какой сервис его использовать

Ответить
Развернуть ветку
1 комментарий
BigBadaBoom

Я, где возможно, настраиваю и то и то, но использую по умолчанию Yubikey (проще нажать на ключ, чем брать телефон, открывать и т.п..).

SMS стараюсь не использовать вообще.

Ответить
Развернуть ветку
Marat Isaev

Если есть элементарные навыки программирования, то можете написать простейший скрипт, который по названию сервиса будет подставлять в поле ввода пароль, на autohotkey это будет примерно вот так.
::gmail.com::qwerty111
::банк.ру::ааа111
Скрипт зашифруйте и запомните один длинный и уникальный пароль. в зашифрованном виде делайте бекап. Чтобы не возиться каждый раз с шифровкой, расшифровкой и бекапом, можно написать еще один простейший скрипт на пару десятков строк.
Это намного надежней, вы не доверяете свои пароли 3 стороне. Работает в любом приложении и вам не надо будет аутентифицироваться в 3 сервисах которые следят за каждым вашим пуком.

Ответить
Развернуть ветку
Фиолетовый Штурм

Кого в семью 1password?

Ответить
Развернуть ветку
Labeling

Bitwarden же, его можно поставить на свой сервер. 1password хранит пароли у себя и забанил русских.

Ответить
Развернуть ветку
10 комментариев
Labeling

Bitwarden же, его можно поставить на свой сервер. 1password хранит пароли у себя и забанил русских.

Ответить
Развернуть ветку
Baka Baka

Я вообще не понимаю, в чём повышение безопасности от 2FA, если добавляется ещё одно неконтролируемое пользователем звено:
если оно сломается, я не смогу войти в аккаунт. Прекрасно (нет).

Ответить
Развернуть ветку
Максим Ростокин

Получается, самый надёжный способ 2fa это госуслуги или сбер айди)

Ответить
Развернуть ветку
Сергей

двухфакторная аутентификация - штука не простая...что-нибудь забыл/перепутал и никогда не зайдешь

Ответить
Развернуть ветку
Марк

когда придумают что-нибудь еще более геморройное и не удобное?

Ответить
Развернуть ветку
Никита Каляев

а им то какая разница будет двухфакторка или нет

Ответить
Развернуть ветку
Анастасия Толмацкая

"Если пользователь всё равно не подключит 2FA, ему ограничат доступ к аккаунту"-сурово ,но для их же безопасности

Ответить
Развернуть ветку
Yuri Polyakov

а в случае ошибки предложит сбросить настройки
и потом по новой 28 дней ждать и так будет замкнутый круг

Ответить
Развернуть ветку
Невероятный Блондин

Вдруг кто не знает:
В Safari есть менеджер паролей с TOTP (Генератор одноразовых кодов)

Доколе?

Ответить
Развернуть ветку
Максим Ростокин

Sms просто самый дорогой способ 2Fa

Ответить
Развернуть ветку
Righteous Hippie

И самый ненадёжный, потому что добавляется риск, что смс не будет доставлена, особенно если вы находитесь не в родной стране вашего оператора.

Ответить
Развернуть ветку
Марк

Интересно, будут звонки от мошенников или нет))

Ответить
Развернуть ветку
Илья Зарецкий

конечно будут, всё в лучшем виде)))

Ответить
Развернуть ветку
Григорий Ефремов

Зато пароль можно забыть, который приходится менять постоянно из-за дырявой головы

Ответить
Развернуть ветку
Make Luv

Enpass ванлав.

Ответить
Развернуть ветку
Pirate

Вот свершилось ) Могу сказать что меня... думаю лишил github моего аккаунта Из РФ авторизоваться по смс не возможна Потому что github не высылает смс по номерам в РФ Да и по онлайн сервисам одноразовым номера из других стран смс github не высылает Интересно поступил со мной github он лишил меня аккаунта просто так Даже если я хочу fa2 подключить я из РФ не могу это сделать Но блокировать полностью доступ к аккаунту он может Только потому что я осознано выбираю не пользоваться fa2 Это весьма тупо github! =)
Я это запомню ^_^ какой github не надежный сервис Моему аккаунту множества лет и множества проектов там упокоються с миром GITHUB RIP!

Ответить
Развернуть ветку
138 комментариев
Раскрывать всегда