GitHub c 13 марта 2023 года начнёт требовать от разработчиков подключить двухфакторную аутентификацию Статьи редакции

Если не успеть в срок, доступ к аккаунту ограничат.

Источник: Vox
  • С 13 марта 2023 года GitHub начнёт уведомлять «группы разработчиков и администраторов» о необходимости добавить двухфакторную аутентификацию (2FA). Сперва небольшие, а потом и крупные сообщества получат электронное письмо или увидят соответствующий баннер на сайте.
  • После первого уведомления пользователи получат 45 дней на настройку и в течение этого времени будут получать регулярные напоминания. Если разработчик не хочет ждать своей очереди, он может подключить 2FA уже сейчас — с помощью инструкции.
  • Способов дополнительной аутентификации несколько — это SMS, ключи безопасности, вход через приложение GitHub Mobile и TOTP (генерация одноразовых кодов). Но компания предупреждает, что SMS считается не самым надёжным вариантом, и советует вместе с ним подключать TOTP.
  • В течение 28 дней после подключения GitHub попросит проверить работу 2FA, а в случае ошибки предложит сбросить настройки, не отключая доступ к аккаунту.
  • Разработчики, которые не успеют в срок, получат дополнительную неделю на настройку начиная с первого после истечения 45 дней входа в систему. Напоминания будут приходить на протяжении всех семи дней. Если пользователь всё равно не подключит 2FA, ему ограничат доступ к аккаунту.
  • О планах обеспечить переход всех пользователей на 2FA до конца 2023 года GitHub объявил в мае 2022-го.
0
141 комментарий
Написать комментарий...
Апрель Обормотов

А что, есть те, кто ещё не?

Ответить
Развернуть ветку
Стерлядка Вяленая

я есть) не люблю я эти двухфакторные, потому что если вдруг в будущем что будет с номером телефона - офигеешь доказывать, что ты - это ты, придется все доки какие есть сканировать и слать вместе с фейсом в камере. У меня везде пароли более 20 символов со всякой абракадаброй, имхо хватит, да и не такой я популярный, чтоб пол инета за мной охотилось)

Ответить
Развернуть ветку
Sergey

еще остались люди, которые думают, что их спасет длинный пароль? забавно

Ответить
Развернуть ветку
Стерлядка Вяленая

ну прикинь, спасают. Одно дело, если ты популярный на весь инет, и тебя захотят целенаправленно взломать, тогда да, могут стиллер тебе подсунуть, авторизоваться твоими куками, хотя какой в этом смысл, ведь имейл не изменить на большинстве сервисов не имея доступ к основному. А если ты обычный чел, то че тебе бояться? Стиллеров в инете 1505005, думаешь кто-то будет в твоих куках разбираться, нет ли у тебя гитхаба? А телефон это лишняя уязвимость. И шанс на то, что тебя разведут с его помощью или же опсос спиздит твой номер (особенно, если он красивый) в разы выше, чем то, что тебя целенаправленно решат атаковать и успешно атакуют.

А если рассуждать по твоей логике, то пароли ваще надо отменять, как и менеджеры паролей - все это чушь бесполезная. Вот только почему-то в мою айти компанию каждый месяц стучат индивиды, которые спрашивают скок стоит взломать вк подружки или почту партнера. Оказывается не так просто, да?)

Ответить
Развернуть ветку
Sergey

такое странное конечно рассуждение) обычный чел, чего бояться)) ну например того, что любой современный стиллер определяет какие сохраненные учетки есть на ПК, а потом это всё также автоматически используется, и всем плевать известный ты или нет, потом будешь сидеть свое время тратить на восстановление аккаунтов

а если рассуждать по моей логике, то для начала нужно включить мозги, иначе не получится понять) пароль + 2фа всегда будет безопаснее, чем просто пароль или чем просто 2фа. кстати, практика полной отмены паролей уже была, погугли, например, майкрософт пробовали это делать

Ответить
Развернуть ветку
Стерлядка Вяленая
потом будешь сидеть свое время тратить на восстановление аккаунтов

А это не сложнее, чем тратить время на восстановление, когда включена 2фа.

то для начала нужно включить мозги, иначе не получится понять
пароль + 2фа всегда будет безопаснее, чем просто пароль или чем просто 2фа

Ок, что ж ты тогда свои мозги не включил, прежде чем это писать?) В том и прикол, что если ты подключаешь 2фа, забудь про связку "пароль + 2фа". По факту у тебя есть только "2фа" и точка! Потому что ты можешь с легкостью "забыть" пароль и тебе достаточно одной смс, чтобы его восстановить. А теперь прикинь какая это уязвимость во времена, когда опсос запросто может спиздеть твой номер, а злоумышленник может запросто его подделать и перехватить смс. Это любой твой аккаунт априори в опасности.

А по поводу стиллера - его еще найти надо. Как правило, его подкидывают знакомые и коллеги, просто так в инете на него забрести нереально сложно. И просто так он не сработает, надо или формы какие заполнить, или софт какой установить. Поэтому чего ты так боишься?

Ответить
Развернуть ветку
Sergey

я то как раз включил мозги перед тем, как писать, теперь советую сделать это и тебе. когда включена 2фа - гораздо меньший шанс потом сидеть и восстанавливать аккаунты

2фа это всегда пароль и дополнительное подтверждение (даже расшифровывается как двухфакторная аутентификация, двух, не однофакторная), а не только смс (да и вообще причем тут смс, если 2фа обычно используется через специальные приложения по типу G Auth, Яндекс ключ и прочие). ты либо не понимаешь что такое двухфакторка (еще раз говорю - это не вход по смс), либо слишком толсто троллишь

насчет стиллера - сложно поймать, если ничего не скачиваешь, а если работа хоть немного связана с разными программами, загрузкой файлов и плагинов, то проще простого. опять же, можешь нагуглить статистику заражений подобным типом вируса

Ответить
Развернуть ветку
Стерлядка Вяленая

Я пишу про смс, потом что в РФ процентов 90% 2FA означает именно привязку телефона для пуш\смс уведомлений. Да, есть и приложухи как у стима, только что ты будешь делать, если телефон сломается\потеряется?) И опять же, подключая телефон к аккаунту ты имеешь возможность в любой момент восстановить доступ к аккаунту имея только телефон. Как ты этого не понимаешь. Тебе достаточно щелкнуть "забыл пароль" И вуаля, все коды придут тебе либо пушкой, либо смс. И получай доступ. Т.е. никакой двухфакторки и нет по сути.

Что касается стиллера - зачем пугаешь? Не, если человек дурак и скачивает все подряд везде подряд - то да. Я часто скачиваю что-то, каждую неделю. В основном все на торрентах, никаких проблем, а антивирь я снес в далеком 2012м году. На обычных сайтах я тоже качаю, типа варезников, так я сразу вижу стоит оно того или нет. Если перекидывает на какие-то левые файлхостинги, где бесконечные: "подождите, теперь щелкните сюда" - то ну его нахуй. Или если формат не совпадает, например, я качаю пхпшторм, а он весит 7 мегабайт - понятное дело, что это хуйня, надо удалять. Или качаю фильм, а у меня загрузка началась: "Интерны.exe". Опять же - в топку. Никаких стиллеров за столько лет ни у меня, ни у знакомых, ни у кучи клиентов, большинство из которы в компах ваще не шарят. Так что не надо, пароль - наше все, это самое лучшее и безопасное, и на восстановление, как раз, тратить время не надо. Да и о каком времени речь? На большинстве сервисов я благодаря почте обратно пароль на свой поменяю. А почту ты не изменишь, потому что придет письмо с подтверждением на мою. И? Ну и смысл вот ты получишь доступ к моему гитхабу? Что ты сделаешь? Репозитории мне все удалишь? Ну ок. у меня резервная копия на компе стоит. Просто сменю пароль, выкину тебя из сессии и задеплою обратно.

Ответить
Развернуть ветку
Sergey

На всех популярных РФ сервисах есть поддержка нормальной или почти нормальной 2FA (VK - посылает код в приложение на другом устройстве, Яндекс - яндекс ключ и так далее), СМС сделаны только для людей, которые не могут толком разобраться в этой простой настройке безопасности или просто не хотят этого делать, а потом выписывают в комментариях на вс как же СМС это небезопасно

Смысл получения доступа к твоему гитхабу? Ну, например, распространение вредоносных файлов, которые скачают из твоих репозиториев. Во-первых, ты поспособствуешь заражению таких же наивных людей с надежными длинными паролями без включенной 2FA, во-вторых, потом будешь объяснять поддержке что не верблюд, ну или создавать новый аккаунт

Ответить
Развернуть ветку
Стерлядка Вяленая

В итоге 0 ответов на вопросы)

Ответить
Развернуть ветку
Sergey

ну значит не задавай вопросов, которые не имеют смысла, по теме я тебе всё объяснил, а отвечать на глупости по типу "зачем пугаешь" смысла реально 0

Ответить
Развернуть ветку
Baka Baka

Спасёт от чего? От м*софта (в данном случае), который хочет получить ваши персональные данные?
От владельцев или админов сервиса, про{д,ср}авших ваши данные?
От этого вообще мало что спасает.

Ответить
Развернуть ветку
Sergey

спасет от взлома в случае утечки данных, попадания на стиллер и пр.

Ответить
Развернуть ветку
Marat Isaev

Смс это не доп. уровень защиты, а доп. вектор атаки. Вы отдаете ключи от чувствительной для вас информации, какому-то ОпСоСу. Симку могут перевыпустить, информацию могут продать конкуренту, выдать по требованию государству. Устройство может быть утеряно или подвергнуться атаке само по себе. За обслуживание симки надо платить, вы легко можете потерять к ней доступ, ОпСоС может просто обанкротиться.
Одноразовые коды или SSH ключи гораздо более надежный способ.

Ответить
Развернуть ветку
Sergey

какой симки?) google authenticator

Ответить
Развернуть ветку
Валерий Михеев

а пароли везде разные и везде 20+ символов с абракадаброй?

Ответить
Развернуть ветку
Стерлядка Вяленая

ага

Ответить
Развернуть ветку
Апрель Обормотов

Ну тоже верно -)

Ответить
Развернуть ветку
Make Luv

Там через totp можно.

Ответить
Развернуть ветку
138 комментариев
Раскрывать всегда