forum.opennet.ru

"GitHub вводит верификацию устройств, при неактивной двухфакт..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "GitHub вводит верификацию устройств, при неактивной двухфакт..."	+/–
Сообщение от хотел спросить (?), 04-Июл-19, 01:05
>> а приложение которое ты ставишь и которое звенит на сервер намного лучше >> чем номер трубы? > На какой сервер? У меня приложение для TOTP собрано мной самим из > исходников и установлено на мобилу которая НИКОГДА не подключалась к интернету, > ей просто нечем и некуда, в ней нет сим-карт, а паролей > к WiFi ей никто не давал. Давай сначала рассмотрим сценарий для непараноиков: We recommend using cloud-based TOTP apps such as: 1Password Authy LastPass Authenticator Дейтствительно.. клауд бейзед и не звенит. Процент параноиков будет мал, основная масса выберет 1 из этих пунктов или смс. Ну допустим ты параноик, давай разбираться твоим кейсом. Юзеру необходимо: 1) проверить код 2) сбилдить всё самому 3) подготовить изолированное устройство 4) таскать его везде с собой (второй телефон) 5) сохранить рекавери коды в надежном хранилище Как по мне так проще: 1) сгенерировать случайный пароль с энтропией 100+ бит (это 20+ символов a-z, A-Z, 0-9) каждый дополнительный символ добавит ~5 бит энтропии 2) сделать тоже самое как и в пункте 5 и так выходит пункт с надежным хранилищем никто не отменял, случайный ключ в 100 бит ты не трахнешь даже в оффлайне а вот гемороя меньше на порядок, но гитхаб нам это прям навязывает, и я прям чувствую руку мелкософта... сразу вспомнились Team Services где они хотел 2FA SMS
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

GitHub вводит верификацию устройств, при неактивной двухфакт..., opennews, 02-Июл-19, 13:33 [смотреть все]

что-то я не пойму, их точно microsoft купила Потому что все больше похоже что их, Аноним, 02-Июл-19, 13:33 (1) //
- При чем тут Google или Microsoft В качестве второго фактора используется TOTP, , Ключевский, 02-Июл-19, 13:42 (4) //
  - For GitHub, the second form of authentication is a code that s generated by an a, пох., 02-Июл-19, 14:30 (24) //
    - Там самый обычный TOTP Телефон на самом деле не нужен Распознаешь QR-код чем хо, KonstantinB, 02-Июл-19, 15:09 (41)
      - Но AndOTP удобнее всего под андроид , AnonPlus, 02-Июл-19, 15:18 (46)
        
        Есть еще под андроид FreeOTP или его форк FreeOTP , эти вообще опенсорц , Kuromi, 02-Июл-19, 17:26 (72)
        
        AndOTP тоже открытый, Аноним, 03-Июл-19, 02:37 (117)
      - там его предлагают лишь как опцию - а 90 этой двухфакторной - по факту окажет, пох., 02-Июл-19, 15:57 (54)
        
        QR не дурацкие, а намного более фундаментальная и перспективная вещь, чем кажетс, Аноним, 02-Июл-19, 16:21 (59)
        
        ага - весь их смысл в том, что ты их не можешь прочитать, а вот твой карманный з, пох., 02-Июл-19, 22:27 (104)
        
        Это уже прогресс по сравнению с длинной base64-бнопней, которую что человек, что, имя, 02-Июл-19, 22:38 (105)
        
        ну был же вариант, использовавшийся в one-true-otp - s key к счастью, до него у, пох., 03-Июл-19, 20:16 (136)
    - просто mobile device это common thing по хорошему если ты отвественный парень т, aim, 04-Июл-19, 18:32 (143)
  - На ГитХабе есть, кстати, поддержка U2F залочена под Хром, правда Обещают что , Kuromi, 02-Июл-19, 17:12 (67) //
    - Лиса тоже u2f умеет, Keklola, 02-Июл-19, 18:36 (85)
      - Лиса - умеет, но многие сайты, в тоv числе и Гитхаб просто не дает такой опции , Kuromi, 02-Июл-19, 23:20 (107)
- Майкрософт, майкрософт Они телеметрию , в том числе на своих сайтах вы не смо, Аноним, 02-Июл-19, 14:41 (33)
Двухфакторная недостаточно безопасна Предлагаю 99-факторную авторизацию пароль, Аноним, 02-Июл-19, 13:39 (2) //
- 4 фотографии, дактилоскопия, сканирование сетчатки, анализ ДНК , Sluggard, 02-Июл-19, 13:43 (6) //
  - Глубокий внутренний отпечаток прямой кишки, очень надёжный с точки зрения безопа, Аноним, 02-Июл-19, 14:04 (16) //
    - для идентификации предусмотрен специальный Так и в самой первой серии такое было, Groosha, 02-Июл-19, 15:09 (40)
    - Вы так и не вышли из этой среды, очевидно Ничего, сентябрь близко , Qwerty, 05-Авг-19, 13:18 (146)
  - Это называется WebAuthn с авторизацией по биометрии Как бы стандарт уже , Kuromi, 02-Июл-19, 17:13 (68) //
    - WebAuthn - не о биометрии По биометрии идёт аутентификация юзера устройству А , Аноним, 02-Июл-19, 18:01 (79)
      - Эээ, и да и нет WebAuthn как раз таки прописывает в том числе авторизацию аутен, Kuromi, 02-Июл-19, 23:27 (108)
        
        Спасибо за пояснение Это полная жопа , Аноним, 03-Июл-19, 11:25 (123)
А как устройство отличать , Х, 02-Июл-19, 13:41 (3) //
- https ru wikipedia org wiki Цифровой_отпечаток_устройства, Sluggard, 02-Июл-19, 13:44 (10)
- кукой, Аноним, 02-Июл-19, 15:12 (43)
- А это они у дурова спросят, его телега же мало того, что просит спалить номер те, Аноним, 02-Июл-19, 18:53 (86)
Просто замечательно, кто избегал двухфакторной верификации по разным причинам, т, Аноним, 02-Июл-19, 13:42 (5) //
- А что за причины кроме желания быть взломанным при утечке пароля могут быть для , Ключевский, 02-Июл-19, 13:44 (9) //
  - Недоверие github у Ему не нужен мой номер телефона По-хорошему, ему и почта не, Ordu, 02-Июл-19, 13:55 (15) //
    - А он и не просит твой номер телефона И паспорт не просит И адрес проживания Чу, Ключевский, 02-Июл-19, 14:09 (18)
      - Ах, вот оно как Но мне лень читать и вникать, есть где-нибудь краткое и понятно, Ordu, 02-Июл-19, 15:22 (48)
        
        poor schoolboy , Mail, 02-Июл-19, 17:22 (71)
        
        Да-да, я очень страдаю Но тебе ведь тоже лень ты ведь не может описать в двух , Ordu, 02-Июл-19, 17:34 (75)
        
        Я читал Идея нетривиальна, поэтому в 171 двух словах 187 её не описать 82, Капитан Очевидность, 02-Июл-19, 18:58 (87)
        
        Совершенно бесполезно Нетривиальную идею на семь страниц никто кроме нердов чит, Ordu, 02-Июл-19, 19:15 (90)
        
        Выключай компьютер , Аноним, 02-Июл-19, 19:59 (91)
        
        Тебе надо, ты и выключай , Ordu, 02-Июл-19, 20:20 (98)
        
        Так это ты выступаешь против нетривиальных идей и считаешь что они никому не нуж, Аноним, 02-Июл-19, 21:27 (101)
        Так это ты используешь такой приём как обобщение совершенно не понимая границ ег, Ordu, 02-Июл-19, 23:13 (106)
        И где тут границы Так что выключай ты , Аноним, 03-Июл-19, 00:08 (111)
        Ты должен их увидеть сам Я могу предложить тебе алгоритм действий 1 Прочитай в, Ordu, 03-Июл-19, 01:37 (114)
        
        Если вы не можете объяснить ребенку в двух словах суть явления - значит вы сами , Урри, 04-Июл-19, 12:17 (140)
    - И, да, так как они 8212 коммерческая организация, то для биллинга им твой адр, Ключевский, 02-Июл-19, 14:10 (19)
      - Если мне понадобиться платная, то я точно не буду пользоваться github Если для , Ordu, 02-Июл-19, 15:19 (47)
        
        хостинг сорцов и сосальная сеточка для нового поколения разработчиков, не умею, пох., 02-Июл-19, 17:03 (64)
        
        Ой, иди рекламируй свою квалификацию где-нибудь в другом месте Тебя я точно нан, Ordu, 02-Июл-19, 17:13 (69)
    - какие же гении в этом треде Объясняю популярно Отсканировать QR-код и потом полу, Аноним, 02-Июл-19, 14:30 (23)
      - я вот тебе заведу неразрешенное министерством любви средство шифрования , товарищ майор, 02-Июл-19, 14:34 (27)
        
        Выдыхай, майор, выдыхай , Andrey Mitrofanov_N0, 02-Июл-19, 14:38 (29)
      - а потом эту ерунда каждый раз вводи, угу Не нужно оно мне, взломают - да в, Crazy Alex, 02-Июл-19, 14:52 (38)
        
        Это ты думаешь, что там ничего ценного нет, и что код ты можешь перезалить куда , имя, 02-Июл-19, 15:45 (51)
        
        99 аккаунтов - это одноразовые клоны, с которыми вообще ничего не происходит Х, Crazy Alex, 02-Июл-19, 15:52 (53)
        
        Зато оставшийся процент, если в него попасть пусть даже случайным образом, по пи, имя, 02-Июл-19, 16:08 (58)
        
        Мне лучше знать, есть там что ценное или нет Пошли наxер со своей принудительн, Аноним, 02-Июл-19, 17:04 (65)
        
        Да-да, тёть Клава тоже так говорила, пока ей фоточки из отпуска не пошифровали , имя, 02-Июл-19, 18:01 (78)
        Как минимум там есть вычислительные ресурсы github которыми ты бесплатно пользуе, Аноним, 02-Июл-19, 20:03 (92)
        
        Должны страдать, Аноним, 05-Июл-19, 06:31 (145)
      - Чисто для проформы дополню, что есть некоторые сервисы, которые используют касто, Kuromi, 02-Июл-19, 17:30 (73)
  - причина банальна - нежелание связываться с оверинжиниренной ненужной хней, затру, пох., 02-Июл-19, 14:28 (22) //
    - С какого Пароли утекают у пользователей, как её решить кроме 2FA , Аноним, 02-Июл-19, 20:05 (93)
      - Если пароли утекают у разработчиков софта а остальные меня мало на гитхабе инте, хотел спросить, 03-Июл-19, 02:25 (115)
        
        Разработчик софта например, кулинарной книги не обязан быть специалистом по се, Урри, 04-Июл-19, 12:21 (141)
        
        если он разработчик, то как минимум базовые понятия имеются, а еще аналитические, хотел спросить, 05-Июл-19, 03:01 (144)
  - Необходимость покупать телефон и помнить, что с него нужно иногда звонить, чтобы, Аноним, 02-Июл-19, 14:41 (32) //
    - Для TOTP телефон не нужен , Аноним, 02-Июл-19, 20:06 (94)
      - Смотри следующий комментарий про почту , Аноним, 03-Июл-19, 00:21 (112)
  - А почту на mail ru не ломал только ленивый , Аноним, 02-Июл-19, 14:43 (35)
  - Например - нежелание морочить голову А аккаунт создан для мелких удобств и что , Crazy Alex, 02-Июл-19, 14:49 (37)
  - Потеря доступа к аккаунту при потере второго фактора аутентификации Примеры Ук, Аноним, 02-Июл-19, 15:11 (42) //
    - там обещают что его тебе восстановят, как только ты введешь секретный-пресекретн, пох., 02-Июл-19, 16:00 (55)
    - Украли сломалось устройство, на котором второй фактор Резервные копии генерат, Kuromi, 02-Июл-19, 17:22 (70)
      - Вот у меня сегодня точнее, уже вчера случилось Месяц назад полетел домашний к, Аноним, 03-Июл-19, 00:28 (113)
- Будем верифицировать прямо по их железкам, раз не хотят они светить свой номер т, Большой Брат, 02-Июл-19, 13:51 (14) //
  - Еще один Для 2FA НЕ ТРЕБУЕТСЯ НОМЕР ТЕЛЕФОНА Ты и твой телефон им не интересны, Ключевский, 02-Июл-19, 14:11 (20) //
    - а гитхап так не думает , пох., 02-Июл-19, 14:33 (26)
      - На гитхабе инструкция для идиотов Никто не мешает не быть идиотом , KonstantinB, 02-Июл-19, 15:14 (44)
        
        не быть идиотом - это не использовать дурацкие наслоения аутентификации, когда и, пох., 02-Июл-19, 16:03 (56)
        
        Да нифига он не надежно защищает Никакой внимательности не хватит каждый раз пр, KonstantinB, 02-Июл-19, 17:31 (74)
        
        лучше просто подскажи, где я могу недорого без sms купить сертификат аль ой, , пох., 02-Июл-19, 22:17 (102)
        
        Перенаправил домен, используй летенкрипт, ызусефещк, 03-Июл-19, 09:04 (120)
        
        Помимо того, утечка может быть и не с моей стороны вообще Ты удивишься, сколько, KonstantinB, 02-Июл-19, 17:36 (77)
        
        Т е проблема на стороне кода, но решают её за счёт пользователей Что-то здесь , Аноним, 02-Июл-19, 18:28 (84)
        
        о том и речь в консерватории надо бы поправить, для начала-то впрочем, не исклю, пох., 02-Июл-19, 22:22 (103)
        
        Ну вот у меня много ценного и нужного, правда, не мне лично, заказчик использует, KonstantinB, 03-Июл-19, 15:19 (130)
        
        ну так скажи ему, чтоб мой пароль больше не трогал, и свой, отдельный выдумал и , пох., 03-Июл-19, 19:56 (132)
        
        С гитхаба, справедливости ради, не утекало Вот дропбокс обделался по полной , KonstantinB, 03-Июл-19, 15:16 (129)
    - Конечно не требуется, теперь им хочется НОМЕР ПЛАНШЕТА, Оче Видец, 02-Июл-19, 16:46 (63)
Такие меры как будто гитхуб акк это что то ценное, как счёт в банке Будут затяги, Ivan_83, 02-Июл-19, 14:07 (17) //
- ну вообще-то поломав какой-нибудь интересный акаунт - можно получить доступ не к, пох., 02-Июл-19, 14:26 (21) //
  - Я пытаюсь себе представить эту ситуацию и не могу Можешь набросать реалистичный, Капитан Очевидность, 02-Июл-19, 19:04 (88) //
    - Доступ к исходникам нужен сегодня, почтовый сервис в бане по маске IP, а на надё, Аноним, 02-Июл-19, 19:07 (89)
      - мы с вами просто забыли, что типовой опеннетчик под словом почта понимает искл, пох., 02-Июл-19, 20:10 (95)
        
        так-то гуглоаккаунт тоже можно обмазать totp вместо sms, но это ж читать уметь н, имя, 02-Июл-19, 21:16 (100)
        
        Хм 8230 Гм 8230 А куда они, собственно, засунули TOTP Раньше было, а сейчас, Аноним, 02-Июл-19, 23:33 (109)
        где-то неделю назад это говно у них сломалосьпочинили только на следующий день п, хотел спросить, 03-Июл-19, 02:33 (116)
- У гитлаба рекапча с аггрессивным фингерпринтингом Также они сами делают фингерп, Аноним, 02-Июл-19, 14:47 (36)
Непонятно, почему они все мелочатся до сих пор Почему сразу не ввести обязатель, ixrws, 02-Июл-19, 14:30 (25) //
- В каком месте 2FA TOTP к этому ведет Покажи, а мы поржем , Ключевский, 02-Июл-19, 14:42 (34)
Куда катится этот мир , Аноним, 02-Июл-19, 15:29 (49)
not affected c , Michael Shigorin, 02-Июл-19, 15:35 (50) //
- возвращать патчи в апстримы вы, я смотрю, уже не собираетесь , пох., 02-Июл-19, 16:43 (62) //
  - В апстрим linux патчи возвращают через рассылку же , Аноним, 02-Июл-19, 18:03 (81) //
    - это ж только ведро А так - https github com systemd systemd issues добро пожа, пох., 02-Июл-19, 20:16 (96)
      - Достаточно для опровержения обобщения Так в недавней новости про СтатерКит не бы, Аноним, 03-Июл-19, 10:01 (121)
- Альт случаем не планирует или я не нашёл предоставлять подобный сервис У Рос, Аноним, 02-Июл-19, 18:02 (80)
Хорошо хоть без СМС Впрочем, юзверье все схавает, вот я бы долго блевал от , user90, 02-Июл-19, 15:47 (52) //
- как то есть без Это их основной и любимый гуглем 2FA Остальные опциональны , пох., 02-Июл-19, 16:04 (57) //
  - Вы не могли бы раскрыть тему немного подробнее , user90, 02-Июл-19, 16:27 (60) //
    - в смысле ВСЕ крупные проекты и начиная с гугля при попытке включить двухфакто, пох., 02-Июл-19, 16:42 (61)
      - А пойти и посмотреть, прежде чем трындеть, не пробовал https postimg cc WtmP0N, Аноним, 02-Июл-19, 18:11 (82)
        
        а приложение которое ты ставишь и которое звенит на сервер намного лучше чем ном, хотел спросить, 03-Июл-19, 02:39 (118)
        
        На какой сервер У меня приложение для TOTP собрано мной самим из исходников и у, Ключевский, 03-Июл-19, 14:37 (128)
        
        прекрасно, просто прекрасно Вы прослушали номер больной палаты 6 борется с все, пох., 03-Июл-19, 20:06 (134)
        Давай сначала рассмотрим сценарий для непараноиков We recommend using cloud-base , хотел спросить, 04-Июл-19, 01:05 (139)
        
        Приложение 1 , которое я ставлю, не звенит ни на какой сервер Не веришь 821, Аноним, 03-Июл-19, 20:02 (133)
        
        а квалификации-то хватит а что это вы скромно молчите про 0 прекрасный totp гуг, пох., 03-Июл-19, 22:10 (138)
        
        Если не хватит, пусть закажет кому-нибудь аудит Потому что это приложение я не с, Аноним, 04-Июл-19, 17:52 (142)
      - Ты врешь Зачем ты это делаешь непонятно GitHub никаких смс не высылает и номер, Ключевский, 03-Июл-19, 14:35 (127)
О, да тут диванные эксперты собрались Что, прививки - зло, а воду в банках у те, Аноним, 02-Июл-19, 17:08 (66)
Почему для двойной идентификации нельзя использовать просто второй пароль , Аноним, 02-Июл-19, 17:35 (76) //
- Потому что они у тебя будут записаны на одном стикере , Аноним, 02-Июл-19, 18:12 (83) //
  - но с разных же ж сторон , пох., 02-Июл-19, 20:17 (97)
- Потому что приказы начальства не обсуждаются А в ГитХабе теперь Майкрософт нача, Аноним, 02-Июл-19, 20:39 (99) //
  - чо-та по поведению - не складывается microsoft просто попросила бы вводить live, пох., 03-Июл-19, 07:10 (119) //
    - А ГХ и не навязывает 2FA Они просто фингерпринтят и всё , Аноним, 03-Июл-19, 11:30 (124)
      - ну здрасьте - верификация устройств это не просто , это хрен тебе а не логин, пох., 03-Июл-19, 20:08 (135)
Не сказал бы что я был особо высокого мнения о комментаторах, но почитав этот уж, Аноним, 02-Июл-19, 23:55 (110) //
- Не разрешайте своим волосам читать такие ужасы, особенно на ночь , Аноним, 03-Июл-19, 19:55 (131)
Микрософт _возможность_ зонда, пока пока , Аноним, 03-Июл-19, 10:04 (122)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру