GitHub users are now required to enable two-factor authentication as an additional security measure.

Я себе мысленно ударил рукой по лицу, прочитав «В случае распространенных реализаций RFC 6238 второй фактор ─ это 6 десятичных цифр (а максимум, предусмотренный спецификацией, ─ 8 цифр). Согласно калькулятору bruteforce для OTP, за три дня атакующий в состоянии подобрать второй фактор, если ему каким-либо образом стал известен первый. Нет ясности, что сервис может противопоставить этой атаке, не нарушая нормальную работу пользователя. Единственный возможный proof of work ─ капча, что, на наш взгляд, является последним средством.»

Т.е. капчу показать это для них последнее средство, а изобретать свои протоколы и приложения - это нормально. Причём капчу надо показывать не всем пользователем, а только тем, кого в данный момент пытаются перебрать, то бишь при правильной реализации всего этого, капчу не увидит никто, т.к. и перебирать никто не будет.

Они исходят из того, что ПК небезопасен и может быть скомпрометирован. Поэтому ввод постоянного пароля на нем нежелателен.
И сделали постоянный пароль частью секрета, на основе которого генерируется последовательность одноразовых кодов (вторая часть секрета хранится на файловой системе смартфона).

Выглядит логично.
Только в этой схеме нужно ещё как-то заслать shared secret обратно на сервер яндекса (либо они сразу считают ОТР по хэшу постоянного пароля, который уже есть у них).

хабр заблокировал пост из-за блокировки аккаунта

а по каким причинам произошла блокировка?

Кто-нибудь знает как воспользоваться FreeOTP для генерации одноразовых кодов для х*яндекса?

отреверсь (Основы реверс-инжиниринга Android-приложений) ;-)

Кто-нибудь знает как воспользоваться FreeOTP для генерации одноразовых кодов для х*яндекса?

ХЗ, я просто base64 строку вытащил из ссылки. Работает и с oathtool, и keepass тоже корректные пин-коды генерирует.

В чем проблема? У меня в KeePassXC генерятся эти коды, там открытый стандарт, вписываешь ключ и генеришь.

В том что я - не ты, и этим дрочем заниматься желания у меня нет, в особенности ради дерьма на которое я буду заходить раз в месяц.

Так же само я игнорю сайты, которые на входе сразу показывают капчу сложнее «дважды два», регистрационные с подтверждением, любители сусурных паролей с двумя цифрами\заглавными\знаками для аж загрузки котиков, и прочий мусор.

Одно дело когда тебя это заставляет делать банк, чтоб у тебя не увели миллион со счета, а совсем другое когда говноресурс прикидывается пентагоном с кодами запуска.

Дальше что? git clone после авторизации по сетчатке? Да ну нах)))

s/gogs/forgejo/

Одно дело когда тебя это заставляет делать банк, чтоб у тебя не увели миллион со счета, а совсем другое когда говноресурс прикидывается пентагоном с кодами запуска.

Прикинь, на гитхаб выкладывают не только лишь очередное говноДЕнаколенке, там бывают и серьезные проекты, над которыми работают много людей. И им важна двухфакторная авторизация, токены и прочее разграничение доступа. И гитхаб сделал это для всех единообразно, унифицированно и , я не побоюсь этого слова, стандартизированно.

Во всяком случае, доступ по SSH никуда не делся, и ему 2FA не нужно.

Во всяком случае, доступ по SSH никуда не делся, и ему 2FA не нужен.

Доступ по SSH - чтобы что?

Self-hosted gitlab ща еле ворочается на 8Gb ram и 4-хядерном проце.

Ну не знаю. Возьми self-hosted forgejo.

Не думал, что и от Microsoft может быть польза. Но, как оказалось, может.

Ну, ты по-прежнему можешь делать git push|pull|clone. Вот как с пулл-реквестами и issues – не знаю, вроде есть тул и для этого. То есть, можно пользоваться гитхабом и не пользоваться его веб-интерфейсом.

Юзайте свои божественные С-поделия =)

В чем проблема?

Логин и пароль человек в состоянии запомнить и держать в голове, а хэш от OTP надо где-то сохранить и заботиться о том чтобы он не потерялся и был при тебе если ты куда-то решил уехать, телефон можно потерять или он поломается, тоесть облако держать? А к облаку как подключаться с 2 факторами, тоже по OTP ключ от которого лежит на нем-же, wipzip.zip получается.

Прикинь, на гитхаб выкладывают не только лишь очередное говноДЕнаколенке, там бывают и серьезные проекты, над которыми работают много людей. И им важна двухфакторная авторизация, токены и прочее разграничение доступа. И гитхаб сделал это для всех единообразно, унифицированно и , я не побоюсь этого слова, стандартизированно.

Ну это разумеется ложь, в силу того что нормальному человеку свойственно все упрощать, связка логин-пароль является самым простым и кроссплатформенным способом аутентификации (проще может быть разве что одноразовый пароль СМСкой), а двухфакторная - не дает никаких видимых преимуществ - просто потому что в конечном итоге бинарна: зарегился или нет.

этим дрочем заниматься желания у меня нет

На лоре пока такого нет, так что публикуй код здесь в комментах.

Мне интересно, как все эти серьезные столько лет жили без двухфакторной и не лопнули до сих пор. Потом трехфакторную придумают, тоже скажут мол по просьбам трудящихся.

Если не нужны всякие machine learning и CI отдельно прикручивать не влом - можно использовать Gitea/Forgejo - оно в разы меньше жрет.

Сами ушли на работе с GitLab(разворачивался во времена когда он еще не был адовым монстром), т.к. использовали из всего функционала только собственно Git, да немножко Wiki. Но признаю, что мы - не релевантны, ибо у нас 2,5 пользователя.

двухфакторная - не дает никаких видимых преимуществ

Заявлять такое в 2025 году - это либо преступление, либо ограниченность, учитывая с какой скоростью отовсюду утекают пароли.

Понятное дело, что прикрутить двухфакторку в старую систему, которая не была на это рассчитана - задача обычно либо сложная, либо вовсе невозможная.

Но заявлять при этом, что такой метод авторизации не нужен - такое себе.

Единственное что - я люто, бешено ненавижу сервисы, которые безальтернативно предлагают в качестве второго фактора ТОЛЬКО смс на номер телефона.

Такие сервисы должны быть уничтожены и гореть в аду. Например mail.ru, который сначала реализовал TOTP, а потом отказался от него, оставив только сраные СМС - эталонный пример того, как делать НЕ НАДО!

Github таким не страдает - там и СМСки, и TOTP, и Passkeys вроде даже завезли

Вот их статья: Двухфакторная аутентификация, которой удобно пользоваться

Опять решения о безопасности доверели менеджерам по ui/ux

Наконец, двухэтапная аутентификация попросту неудобна: наши usability-исследования показывают, что ничто так не раздражает пользователей, как промежуточный экран, дополнительные нажатия на кнопки и прочие «неважные», с его точки зрения, действия.

И оно не сочетается с

Для входа в учётную запись необходимо считать QR-код через приложение — и всё. Если считать QR-код не получается, например не работает камера смартфона или нет доступа к интернету, приложение создаст одноразовый пароль, который будет действовать всего 30 секунд.

Ну типа достать телефон, разблокировать, запустить приложение, прицелится камерой в qr это все удобнее и ыбстрее чем пароль ввести.

Это вообще рофл

Исходя из этого, мы решили, что аутентификация должна быть одноэтапной и пространство паролей должно быть намного больше, чем возможно сделать в рамках «чистого» RFC 6238.

Все из выводы строятся на том что злоумышлинник каким-то образом получил доступ к ПК жертвы

Начнем с того, что компьютер среднестатистического пользователя не всегда можно назвать образцом защищенности

Единственный возможный proof of work ─ капча, что, на наш взгляд, является последним средством.

Ограничить число попыток в час по фингерпринту? А если начинается массовая атака с разных фингерпринтов, то начинать долбить пользователя по всем каналам: «Чуваак тебя домают!»

На деле приложение не получает доступ к отпечатку пальца, но если отпечаток верен, то приложению становится доступен дополнительный раздел Keychain. Этим мы и воспользовались. В защищенную TouchID запись Keychain помещается вторая часть секрета, та, которую в предыдущем сценарии пользователь вводил с клавиатуры. При разблокировке Keychain две части секрета смешиваются, и дальше процесс работает так, как описано выше.

Знатаки iOS, подскажите, а эти keychain хранятся только на чипе? если телефон помер их уже не вытащить или apple их копирует в облако? А если не помер, то миграция между 2 смартфонами как происходит?

Из этого следует, что 2FA и на телефоне нужна :)

Не, к тому времени TPM человеку в мозг вживят, и всë, приехали.

Биометрия? Для разблокировки пароль, а если что-то подтвердить то палец еще приложить, вот тебе и 2 фактора.

Троллинг тупостью?

Неужто еще и здесь хотят насобирать коллекцию мобильников-юзернеймов и опционально захламить телефон еще одним зондом?

Разве мобильник обязательно нужен? Я включил 2FA ещё несколько лет назад, использую Aegis, номер мобилы GitHub вроде для этого не требовалось отдавать.

Единственное что - я люто, бешено ненавижу сервисы, которые безальтернативно предлагают в качестве второго фактора ТОЛЬКО смс на номер телефона.

Но почему? Опасаетесь, что супермегабезопасный сервис что-то нехорошее сделает с вашим номером? Смски ведь явно удобнее, чем красноглазие с totp.

Да я сам с гитлабом сижу, но я уже начал Gitlab CI юзать, так что съезжать пока не планирую.

Знатаки iOS, подскажите, а эти keychain хранятся только на чипе? если телефон помер их уже не вытащить или apple их копирует в облако? А если не помер, то миграция между 2 смартфонами как происходит?

Как приложение скажет, так ОС и сделает. Есть локальные ключи, есть облачные. Облачные синхронизируются между всеми устройствами, локальные - не синхронизируются. Как яндекс-ключ делает - не знаю.

Ясно, у меня просто 2FA везде где можно включена уже много лет, проблемы такой не ощущаю, зато ощущаю спокойствие 💅

Но почему? Опасаетесь, что супермегабезопасный сервис что-то нехорошее сделает с вашим номером? Смски ведь явно удобнее, чем красноглазие с totp.

Лично мне периодически SMS-ки от этих западных сервисов перестают доходить. Вот пару недель назад в пресловутый гитхаб не мог залогиниться, просто SMS не приходила. У меня есть backup коды, использовал их, но сам факт в том, что канал ненадёжный.

А в чём красноглазие с TOTP - я, признаться, не понимаю. Я сейчас пользуюсь айфоном, в нём TOTP встроена в менеджер паролей, который поставляется прямо с ОС. Всё делается быстро и удобно, как добавление кода, так и генерация. С защитой проблем нет, все коды синхронизируются в облако, тем самым решая вопрос бэкапа.

Андроид в этом плане, конечно, сильно отстаёт, как и в других аспектах, но кто им пользуется - сами выбрали путь страданий.

Во-первых, номера утекают. Понятное дело, что защититься от этого на 100% невозможно, но замки, например, всё равно продолжают почему-то ставить в дома, хотя воры никуда не делись.

Во-вторых, учитывая что у нас тут бывает так глушат связь, что даже 2G не работает (нет ни то что Интернета, нет даже звонков с СМС, на моем основном номере за последний месяц такое было раз десять, то есть это не единичный случай) - иметь второй фактор, который может работать полностью оффлайн это как раз удобно, в отличие от.

Жаль, что сам сервис не может работать оффлайн. Конечно прикольно, что раньше утекали только логины и пароли, а теперь логины, пароли и номера телефонов. Явный прогресс.

Жаль, что сам сервис не может работать оффлайн.

Кто-то путает требование одного канала связи для работы(Интернет) и ДВУХ(Интернет + GSM-сеть). В этом плане второй фактор вида «код на электронную почту» на мой взгляд тоже не лучше - потому что хоть это и требует ОДИН канал связи(Интернет), но если например почтовик прилёг - то ты тоже в заднице.

Понятное дело, что приложение с TOTP на телефоне у тебя тоже может выйти из строя(банально - разбил телефон).

Но, во-первых, для опытных пользователей есть парольные менеджеры с синхронизацией и оффлайн-режимом. А для не очень опытных - всякие Microsoft/Google Authenticator с синхронизацией в облако(хотя тут не подскажу насколько они работают без Интернета - не пользуюсь решениями, которые сливают базу TOTP на неподконтрольную мне инфраструктуру)

В общем сойдемся на том, что каждый сам для себя решает какие риски в плане авторизации приемлимы. Кому-то и один пароль на все сервисы сложно, потому что его надо помнить и вводить еще, короче неудобно :-)

Опасаетесь

Опасаться много чего можно, начиная от банального спама на смс и заканчивая обогащения утечек других данных ещё и номерами телефонов, а через них - адресами прописки и снилсами.

Смски ведь явно удобнее, чем красноглазие с totp.

Смску ещё дождаться надо. Иногда не дожидаешься, жмёшь «ещё», а оно приходит, но неизвестно первая или вторая.

зачем?

А зачем вообще github? Если по идейным соображениям пользователям дарится дисковое пространство, процессорное время и трафик, на этих самых пользователях неплохо бы и заработать.

Хотя в принципе странно до сих пор использовать западные сервисы, это iq 78

Попадание в десяточку.

А зачем вообще github?

Чтобы написать багрепорт. Потому что многие проекты только там их и принимают, увы.

Если по идейным соображениям пользователям дарится дисковое пространство, процессорное время и трафик, на этих самых пользователях неплохо бы и заработать.

так они и зарабатывают, там же есть платные тарифы в т.ч. с развертыванием на оборудовании заказчика.

Заявлять такое в 2025 году - это либо преступление, либо ограниченность, учитывая с какой скоростью отовсюду утекают пароли.

Если юзверь на помойке для шаринга кода использовал тот же пароль что и на банкинге с миллионом долларов на счету - ССЗБ.

Github

Отправляется нафиг вместе с майкрософтом.

Ясно, у меня просто 2FA везде где можно включена уже много лет, проблемы такой не ощущаю, зато ощущаю спокойствие

Одно дело ее существование, и совсем другое дело ее навязывание.

А в чём красноглазие с TOTP - я, признаться, не понимаю.

Я тебе объясню.

Начнем с того, что если например «СМС» - всеми узнаваемая и всеми имеемая сущность, электронная почта - всеми узнаваемая но половиной имеемая сущность, то вот это твое TOTP - это не понятно что, для не понятно зачем.

Я сейчас пользуюсь айфоном

Ну то есть ты хочешь сказать, что во-первых для пользования гитхабом таки нужен мобильный телефон, и во-вторых для пользования гитхабом нужен только айфон ? Ну так тем более такой гитхаб идет нахрен. Это явно птица не того полета, чтоб ради нее еще и айфон покупать.

- - -

Красноглазие в том, что дополнительно нужно поставить, настроить, и иметь с собой - дополнительную сущность, которая может быть заблокирована, утеряна, украдена и тд итп.

Там вон Pinkbyte боялся что пароли утекут. А то что девайс может быть похерен и доступа не будет совсем - почему-то не беспокоит =)

Ах да, гитхаб же настолько важная структура что ради него можно настроить синхронизацию в облако + 5й RAID чтобы не похерилось.

В итоге чтобы зайти раз в месяц или тем более зарепортить багу - нужно делать несколько дополнительных шагов.

Нафиг-нафиг.

каждый сам для себя решает

Так вот оказалось что для себя решает не каждый, а дядя.

Я кстати завел аккаунт на гитхабе - потому что мне нужно было написать баг-репорт. И если бы тогда мне подсунули это двухфакторное - я бы выкинул и забыл. Просто потому что как я написал выше - птица не того полета, чтобы ради этого делать настолько сложные телодвижения.

Двухфакторку по мылу еще могу понять, хотя тоже спамоопасно. Но вот эта дичь: подрочите либо просто впишите мобильник - типичный Microsoft-way.

пользования гитхабом нужен только айфон

Не нужен айфон. Но вот смартфон нужен, да.

Согласно калькулятору bruteforce для OTP, за три дня атакующий в состоянии подобрать второй фактор, если ему каким-либо образом стал известен первый.

Оно же меняется каждые 30 секунд. Попасть конечно случайно при брутфорсе можно, но вероятность этого вообще будет никакая.

Одно дело когда тебя это заставляет делать банк, чтоб у тебя не увели миллион со счета, а совсем другое когда говноресурс прикидывается пентагоном с кодами запуска.

Иногда(да почти всегда) исходники поважнее банковского счета с парой десятков тысяч оставшихся от зарплаты.

Нафига телефон? Любой менеджер паролей, умеет TOTP.

https://pulsesecurity.co.nz/articles/totp-bruting
Из-за временного лага там несколько возможных вариантов правильного кода и привязка ко времени сокрощает число вариантов, но это все будет работать только если сайт не ограничивает число попыток ввода TOTP и не блокирует брутфорсера по подозрительной активности.

Иногда(да почти всегда) исходники поважнее банковского счета с парой десятков тысяч оставшихся от зарплаты.

Нет конечно.

Во-первых, на гитхабе исходники не пишут, а выкладывают. Разумеется что пишут их на локальном компьютере, да и бэкапят по возможности.

Во-вторых, есть понятие двухфакторной авторизации, а есть понятие принудительной двухфакторной авторизации - они похожи, но разные. Кому нужно - пожалуйста, включайте.

В-третьих, то что делают мелкомягкие - на языке маркетинга называется «стратегия приманки». Это когда создается иллюзия выбора тому, что нужно впарить. Такое часто используется в ftp-играх, где для комфортного игрового процесса нужно либо задротничать сутками, либо просто вливать реальное бабло. Очевидно же что 90% людей кроме упоротых красноглазиков с манией преследования, введут здесь мобильный телефончик. Да и мы бы с вами ввели, но наши страны избранные.

Альтернативой могла бы считаться авторизация по e-mail. Но по понятным причинам ее не будет, потому что тогда юзеры не будут наполнять базу мобильничков.

Нафига телефон? Любой менеджер паролей, умеет TOTP

Давай так, согласно нику у меня Windows 10. Какую менюху в Пуске мне кликнуть, чтобы сделать этот TOTP?

Какую менюху в Пуске мне кликнуть, чтобы сделать этот TOTP?

KeePassXC

Ставишь менеджер паролей, например keepassxc, создаёшь/редактируешь запись для гитхаба, и в ней есть пункт меню «Настроить TOTP».