Внедрение двухфакторной аутентификации на GitHub

Уныло набрасываешь, «двухфакторка» по SMS никогда нужной и не была.

А теперь будет нужна.

Алё, от неё сам майкрософт отговаривает 8-)

вроде OTP там работает

ну да, вон по твоей же ссылке русским языком написано

If we don’t support two-factor authentication via text message for your country of residence, you can set up authentication via a TOTP

у меня оно уже неск лет настроено

Не будьте истеричками, двухфакторка не только по SMS.

Почитал, пошел настраивать. Я то через ssh без задней мысли заходил.

В вебинтерфейс-то?

а там по паролю, просто так давно, что и забыл.

Куда перемещать приватные проекты?

Локалхост + шифрованный tar.gz заливающийся хуком на файлопомойку.

Хохма будет если двухфакторку присобачат вообще всем, прощайте багрепорты от обычных людей. Проходить квест ради разового сообщения о баге не стал бы даже я, ладно ещё регистрация и то призадумаешься, а тут ещё и это. В любом случае пока не сделали говорить нечего они на ходу умеют тапки переобувать, скажут одно, а сделают другое. Ничёнипонятна.

А github данный тип авторизации для пользователей Росии не поддерживает

А нахрена 2FA по SMS, если есть TOTP?

SMS не единственный вариант, есть ещё TOTP. Но да, пусть в жопу себе засунут такие требования, на телефон или другие железки я завязываться не собираюсь. Сделаю себе репозиторий с TOTP приложением на js со вшитыми секретными ключами, которое выдаёт второй фактор любому желающему, и будет у меня 1FA, потому что, мля, я так решил.

ну вот как раз там и требуются 2 фактора

Странно, у меня (Украина) еще недавно работала. Теперь страшно разлогиниться.

Уныло набрасываешь, «двухфакторка» по SMS никогда нужной и не была.

Люто бешено нульчую!

SMS это одна большая дыра!

В чем?

В безопасности.

– Ваш кэп.

Вчера ставил corel ml при запуске нужно войти или зарегестрировать акк, РФ, Белорусии нет, зато есть Гандвана. Так что ни чего странного.

По повод дву факторки, так и сейчас требуется подтверждение с новых устройств через почту etc…

Может я чего-то не понимаю, но разве токены доступа не решат данную проблему?

Авторизируешься по дауфакторке, выпускает токены и дальше работаешь через них. Не? Разъясните если не прав.

прощайте багрепорты от обычных людей

Ну, от меня они уже попрощались (последний абзац).

Опа! Это печально.

Тут совсем странно. Нет Бразилии, например, но есть Венесуэла. Больше похоже на список стран оккупированных микрософтом.

Причём уже очень давно, чуть ли не сразу после покупки.

А теперь читай ещё раз. Перевожу: 2FA обязателен скоро. 2FA по SMS такой мрак, что мы поддерживаем его только в очень ограниченном кол-ве стран, где оно хоть как-то работает. Но лучше используйте TOTP.

Зачем что-то делать с git? С ним никаких проблем нет. Есть с GitHub. Ну так незачем им пользоваться, есть целая куча альтернатив.

И вообще, по твоей же ссылке:

Также можно добавить ключ безопасности. При этом в качестве приоритетного варианта для двухфакторной проверки подлинности рекомендуется использовать приложение, создающее одноразовые пароли с ограниченным сроком действия (TOTP).

А это можно делать хоть в pass с соответствующим плагином (я так и юзаю).

так про альтернативы и спрашивалось

Еда не заканчивается, что делать с git?

Едок, а зачем ты путаешь в заголовке гит и гитпох?

Хожу туда с FIDO2\U2F Yubikey, юбики рулят!

А лучше не используйте дырявый гитпох :) Нет гитпоха, нет проблем. А гит без него прекрасно живет.

А как связь с разработчиками использую, тыча в участки кода «по месту». Видимо, привык.

Ну выработай привычку не путать :) Сначала будешь себя поправлять, потом привыкнешь. И жизнь наладится :) Например, ты не увидишь проблемы с гитом, в проблемах вендоров костыльных веб-морд к гиту :)

А github данный тип авторизации для пользователей Росии не поддерживает - https://docs.github.com/en/authentication/securing-your-account-with-two-factor-authentication-2fa/countries-where-sms-authentication-is-supported

Ну так не пользуй SMS. У них TOTP есть. А так, конечно вали с гейхаба нахрен.

Гандвана

Именно так, через «а»?

Ну вот, пришло письмо с просьбой настроить 2fa доь28 сентября.

В детали пока не вдавался, но это теперь при отправке по ssh и создании PR нужно через приложение нужно будет подтверждать действие?

Как хоть это выглядит? У кого уже есть опыт, поделитесь, пожалуйста.

И главное, как получить доступ к аккаунту если приложение для TOTP удалится?

И мне в интерфейсе показало мол, сканируй RQ и введи код. Наверное только вход надо будет двухфакторкой подтверждать, ну и вероятно ещё некоторые действия типа удаления реп. Жопа будет если вдруг по ssh не пройдёт так как надо будет дополнительно зайти в гуй и там провести манипуляции, жопа будет в квадрате если вообще скажут используйте GitHub Desktop и/или gh В октябре увидим, а до этого момента просто пофигу, хотя может и потом будет пофигу.

PR после отправки через ssh всё равно через сайт создаю, так как дополнительное краткое описание приходится делать, иногда на основе шаблона проекта принимающей стороны.

А насчёт приложений TOTP - там какой-то аккаунт привязывается и если копий этих привязок больше нигде нет, то всё в случае удаления приложения?

Ага, там какие-то коды восстановления ещё выдают при настройке.

Увидим

Чтобы войти, надо будет подтвердить. У меня просто на телефоне в приложении вылезает код и все. Либо вводишь, либо жмешь «Это я». Все.

На пуши и прочее никак не сказывается.

Это все касается только входа в веб-интерфейс.

Всё оказалось нестрашно, в отличии от длиннющий инструкции. Надеюсь коды восстановления не понадобятся, хотя они в разделе настроек тоже хранятся.

Заодно проверил генерацию кодов на двух разных приложениях keepassxc и другом прилодени на смартфоне.

Теперь можно бесконечно смотреть ещё на одну вещь: как обновляются TOTP коды.