GitHub c 13 марта 2023 года начнёт требовать от разработчиков подключить двухфакторную аутентификацию Статьи редакции
Если не успеть в срок, доступ к аккаунту ограничат.
- С 13 марта 2023 года GitHub начнёт уведомлять «группы разработчиков и администраторов» о необходимости добавить двухфакторную аутентификацию (2FA). Сперва небольшие, а потом и крупные сообщества получат электронное письмо или увидят соответствующий баннер на сайте.
- После первого уведомления пользователи получат 45 дней на настройку и в течение этого времени будут получать регулярные напоминания. Если разработчик не хочет ждать своей очереди, он может подключить 2FA уже сейчас — с помощью инструкции.
- Способов дополнительной аутентификации несколько — это SMS, ключи безопасности, вход через приложение GitHub Mobile и TOTP (генерация одноразовых кодов). Но компания предупреждает, что SMS считается не самым надёжным вариантом, и советует вместе с ним подключать TOTP.
- В течение 28 дней после подключения GitHub попросит проверить работу 2FA, а в случае ошибки предложит сбросить настройки, не отключая доступ к аккаунту.
- Разработчики, которые не успеют в срок, получат дополнительную неделю на настройку начиная с первого после истечения 45 дней входа в систему. Напоминания будут приходить на протяжении всех семи дней. Если пользователь всё равно не подключит 2FA, ему ограничат доступ к аккаунту.
- О планах обеспечить переход всех пользователей на 2FA до конца 2023 года GitHub объявил в мае 2022-го.
6.6K
показов
6.6K
открытий
Кто подскажет, есть ли смысл переходить на что-то типа Yubikey, или Google/Microsoft Auth тоже ещё норм?
Комментарий недоступен
cloudflare тут недавно проводил акцию невиданной щедрости, раздавая ключи по $10 :)
"Дайте 4 x YubiKey 5C NFC" - дали
Почему нельзя использовать как основной?
Комментарий недоступен
брутфорс разве еще не везде пофиксили? вроде нет ничего проще - бан на минуту после 3 неудачных попыток и нет вашего брутфорса.
Комментарий недоступен
а чего в бане быть - ввел правильно код и все.
да и 1password его в 99% случаев сам правильно введет
Вероятно, быть в бане из-за брутфорса другими.
А какое отношение “другие” будут иметь к вашему ip? В бан отправляется айпи а не юзернейм.
То есть от брутфорса через пачку проксей защиты нет?
Зато есть атака против тех, кто за NAT :)
(Inb4("IPv6"): -_-')
не высасывайте проблему из пальца.
чтобы атаковать тех кто за нат вам надо попасть за тот же нат. чтобы атакануть через кучу проксей с тремя попытками шестизначный номер, вам надо слишком большую кучу проксей из разных сетей.
у меня для таких умников есть специальный акк на микрософте. раздаю его бесплатно всем желающим брутфорснуть.
условия простые - я даю вам логин и пароль, вы если сломаете получаете терабайт места в личное пользование. пока за четыре года существования он стоит пустой. возможно, вас ждет.
поехали?
ну или хотя бы поддосьте мои TOTP, вы же наверное умеете?