GitHub c 13 марта 2023 года начнёт требовать от разработчиков подключить двухфакторную аутентификацию Статьи редакции

Если не успеть в срок, доступ к аккаунту ограничат.

Источник: Vox
  • С 13 марта 2023 года GitHub начнёт уведомлять «группы разработчиков и администраторов» о необходимости добавить двухфакторную аутентификацию (2FA). Сперва небольшие, а потом и крупные сообщества получат электронное письмо или увидят соответствующий баннер на сайте.
  • После первого уведомления пользователи получат 45 дней на настройку и в течение этого времени будут получать регулярные напоминания. Если разработчик не хочет ждать своей очереди, он может подключить 2FA уже сейчас — с помощью инструкции.
  • Способов дополнительной аутентификации несколько — это SMS, ключи безопасности, вход через приложение GitHub Mobile и TOTP (генерация одноразовых кодов). Но компания предупреждает, что SMS считается не самым надёжным вариантом, и советует вместе с ним подключать TOTP.
  • В течение 28 дней после подключения GitHub попросит проверить работу 2FA, а в случае ошибки предложит сбросить настройки, не отключая доступ к аккаунту.
  • Разработчики, которые не успеют в срок, получат дополнительную неделю на настройку начиная с первого после истечения 45 дней входа в систему. Напоминания будут приходить на протяжении всех семи дней. Если пользователь всё равно не подключит 2FA, ему ограничат доступ к аккаунту.
  • О планах обеспечить переход всех пользователей на 2FA до конца 2023 года GitHub объявил в мае 2022-го.
0
141 комментарий
Написать комментарий...
Апрель Обормотов

А что, есть те, кто ещё не?

Ответить
Развернуть ветку
Вы в федеральном розыске

а нах она нужна? У меня за 30 лет пользования компом ни разу не украли ни одного пароля. А с двухфакторкой я постоянно попадаю в какое-то говно, обычно связанное с переездом в другие страны и проблемами поддержания старых ненужных симок в активном состоянии. А иногда вспоминаешь про них через 2-3-5 лет, когда уже поздно что-то восстанавливать

Ответить
Развернуть ветку
Вы в федеральном розыске

Вспомнил. Однажды я потерял телефон в горах, в котором была моя беларусская симка с привязанными двумя банками. Вы себе представить не можете, что такое - восстановить симку от Теле2 где-нибудь в Новой Зеландии. симкарты - это зло и вам всем давно пора это понять. Но вас очень сильно на них подсадили, как и на пользование кредитными картами вместо налички

Ответить
Развернуть ветку
Vilent

С банками неудобно, что только по смс. Раньше у втб была карточка с одноразовыми кодами. А в сервисах типа гитхаба можно использовать Google Authenticator, который на случай утери телефона можно забекапить заранее.

Ответить
Развернуть ветку
NoName

На самом деле пароли спокойно "утекают" прямо с сервисов без каких-либо ошибок со стороны пользователя. Хуже всего, если ко многим сайтам у вас один и тот же пароль. Я один раз догадался погуглить (да, не смейтесь) свой уникальный 20-значный пароль, оказалось он много лет как лежит в открытом доступе на каких-то хакерских форумах в базах логинов-паролей. А я даже не замечал. Как я потом узнал была утечка то ли у ВК то ли у мыла.ру, то ли у обоих.
Есть сайты где можно проверить, присутствует ли ваша почта в слитых базах формата "емейл:пароль" (емейл часто используется на сайтах как логин). Например https://haveibeenpwned.com/

Ответить
Развернуть ветку
Marat Isaev

Если у вас достаточно длинный и уникальный пароль, то никакой опасности в том что его хэш слит не существует. На его расшифровку уйдут сотни миллионов лет.

Ответить
Развернуть ветку
NoName

Это если сайты хранят хэш а не в открытом виде) Маленькие сервисы и сайты спокойно могут так хранить и в 2023

Ответить
Развернуть ветку
Апрель Обормотов

Да это же даже сложно представить себе такой уровень криворукости

Ответить
Развернуть ветку
Baka Baka

ЖЖ же так делает :)

Ответить
Развернуть ветку
Вы в федеральном розыске

Да, я знаю про эти случаи утечек паролей. На многих уважающих себя ресурсах пароли не хранятся в открытом виде, насколько я знаю, а только хэши. И поэтому зачастую утекают только хэши, которые по сути ничего не дают, если только их нет в радужных таблицах.
А в браузере Chrome на вкладке с паролям даже подсказка есть сколько паролей из сохранённых в браузере утекло в сеть

Ответить
Развернуть ветку
Апрель Обормотов
Есть сайты где можно проверить, присутствует ли ваша почта в слитых базах формата "емейл:пароль"

И что, есть люди, которые на полном серьезе вбивают свои логины/пароли на каком-то левом сайте ?!
Это же из серии "отправь смс, что не лох"

Ответить
Развернуть ветку
NoName
присутствует ли ваша почта в слитых базах формата "емейл:пароль"

Для поиска надо вбить почту а не почту вместе с паролем...

Ответить
Развернуть ветку
Апрель Обормотов

А все, теперь понятно. Спс :)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Вы в федеральном розыске

Ну охуеть теперь. И как часто у тебя воруют и изымают ноутбуки? Раз в год? Раз в неделю?
У меня за 30 лет ни разу не воровали и не изымали.
Зато я уже с десяток симок поменял, а к ним что-то да было привязано

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Вы в федеральном розыске

да, от ограбления никто не застрахован. Реально, сочувствую.
На этот случай лучше дополнительно шифровать критичную информацию

Ответить
Развернуть ветку
Marat Isaev

Если у вас есть действительно чувствительная информация на компьютере, то храните ее на зашифрованном разделе и в таком же зашифрованном виде делайте бекап, помнить нужно будет только пароль шифрования.
Другое дело что если у вас могут изъять ноутбук, то могут изъять и вас самого, и пароль вы расскажите сами.

Ответить
Развернуть ветку
stark

Потому что ты неуловимый джо:) а если у тебя на гите под 10к отслеживающих - 2fa необходимость

Ответить
Развернуть ветку
138 комментариев
Раскрывать всегда