forum.opennet.ru

"PyPI переходит на обязательную двухфакторную аутентификацию "

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для сортировки сообщений в нити по дате нажмите "Сортировка по времени, UBB".

. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
Сообщение от пох. (?), 26-Май-23, 21:50
> Блжд, ну в новости же написано П-дежь и чушь собачья там написана, ну и что с этого. Особенно про методы социального инжиниринга расскажи нам - если уж ты такой дятлище, что умудрился выболтать свой заветный пароль - что помешает тебе точно так же сообщить неведомым васянам и код otp (а то и сид вместе с таймером)? Старухи-пенсионерки с легкостью это проделывают. Ты явно не умнее. > Да что ты? А в интернет-банкинг ты как логинишся? По одному лишь паролю? да. sms идиотия везде где можно - отключена к хренам. Включая пару банков из ненаших стран (один из них, кстати, не умеет в sms в принципе, и ненужную 3ds не поддерживает тоже). В том числе потому что не везде есть роуминг. Где нельзя... есть в РФ один прекрасный (нет) банчок - "Потанькофф", не слышал? Отключить эту глупость в нем с определенного момента стало невозможно в принципе - зато тебе предлагают... тадам, код из четырех цифр, правда, привязанный к конкретному экземпляру браузера, но сп-ть токен ничего не мешает - он прям в адресной строке. Подсмотреть через плечо, разумеется, тоже гораздо проще чем нормальный пароль. Вот такая забота идиотов об идиотах. Сириозные дяди сидят, с сириозным видом щеки надувают, о безопастносте твоей радеют - жаль что мозгов Б-г им не дал. А вот нормальный кодогенератор - физическую коробку с кнопками, которую бесполезно красть потому что это только кнопки, батарейка и дисплей, генерит на самом деле чип во вставленной в него банковской карте, естественно, после ввода пина, три попытки и досвидос - умел один-единственный банк в РФ. Но быстро разучился даже для премиальных клиентов. Слишком сложно для .. нет, не клиентов, те валом валили - для банковских сирьиозных щей оказалось поддерживать. Еще, вроде, умеет საქართველოს ბანკი но это неточно (не исключено что там плохой вариант и коробка с кнопками содержит чип внутри, опять с дурацким totp или еще какой глупостью без пинов и challenge/responce - потому что по умолчанию предлагается приложению на телефон вместо нее) > Чел, второй фактор в двуфакторке - это и сесть одноразовый пароль на определенном устройстве. это не одноразовый пароль - для начала totp не одноразовый by design. Это привязка тебя к устройству, знающему и умеющему рассказать много лишнего. Бесполезная, потому что можно создать его клон. Действительно надежный одноразовый пароль - это вот то что я там выше описал.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

PyPI переходит на обязательную двухфакторную аутентификацию , opennews, 26-Май-23, 08:49 [смотреть все]

объясните пж нубику чонетак с PGP и почему пипа от него отказались, ДМИТРИЙ НАГИЕВ, 26-Май-23, 08:49 (1) //
- Неосилили, скорее всего Там действительно есть сложности для того, кто хочет про, Stanislavvv, 26-Май-23, 08:55 (6) //
  - Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых , Жироватт, 26-Май-23, 08:58 (8) //
    - Читайте новость внимательней - там всякие TOTP и токены, т е никаких сторонних , Stanislavvv, 26-Май-23, 09:00 (9)
      - Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзер, Жироватт, 26-Май-23, 09:06 (12)
        
        either with a security device preferred or an authentication app по ссылке из , Stanislavvv, 26-Май-23, 09:10 (14)
        
        Читай мой пост выше В анонсе можно написать что угодно - как это будет сделано в, Жироватт, 26-Май-23, 09:18 (16)
        
        Ну перенесут сроки и что от этого изменится , Аноним, 26-Май-23, 09:48 (18)
        Там достаточно подключить библиотеку и за пару недель отладить работу Дольше инт, Stanislavvv, 26-Май-23, 09:58 (22)
        После того как выпили pgp нет им доверия, через год посмотрим, будет там авториз, анон, 26-Май-23, 16:44 (76)
        
        А до этого, конечно, доверия было хоть отбавляй 29 никому неизвестных ключей и, Аноним, 26-Май-23, 20:46 (108)
      - Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых, Zakaza, 26-Май-23, 14:32 (62)
        
        Простите великодушно , Zakaza, 26-Май-23, 14:33 (63)
        Для того pypi и protonmail подойдёт, если что А вообще, сам по себе TOTP не связ, Stanislavvv, 26-Май-23, 15:14 (69)
        
        Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо втора, Zakaza, 26-Май-23, 20:04 (107)
        
        Про почту - сойдёт любая, могущая _принять_ письмо от сервиса Отправлять не обя, Stanislavvv, 27-Май-23, 08:26 (123)
        oathtool не требует, Аноним, 27-Май-23, 18:07 (131)
  - Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентифика, Аноним, 26-Май-23, 14:25 (60)
- Слишком децентрализованный для нынешнего поколения , Аноним, 26-Май-23, 08:56 (7)
- PGP делали люди для людей Есть УЦ, есть пользователи, есть их ключи, есть пулы , Жироватт, 26-Май-23, 09:01 (10) //
  - Ты все перепутал, в PGP Web Of Trust Есть серверы ключей, но они ничего не удос, Аноним, 26-Май-23, 09:55 (20) //
    - WOT с определённой долей достоверности таки удостоверяет https www linux org , Аноним, 26-Май-23, 11:25 (38)
      - Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг, Аноним, 26-Май-23, 12:58 (46)
        
        Принципиальная ненадежность , Аноним, 26-Май-23, 16:07 (72)
        Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и п, Аноним, 27-Май-23, 13:10 (125)
    - А что токены удостоверяют Как любой рандомный пассажир мог нагенерить себе ключ, Заместитель эксперта, 26-Май-23, 14:40 (65)
      - скатится или нет это будем смотретьа вот то что PGP это корявые костыли это видн, annonn_2, 26-Май-23, 17:15 (79)
        
        В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостовер, Аноним, 27-Май-23, 17:17 (130)
        
        Чтобы начать пользоваться PGP надо сгенерить себе ключ Долверять ли этому ключу, Аноним, 29-Май-23, 20:21 (154)
      - Как ты навалишь в репу TOTP пароль, который действителен 30 секунд , Аноним, 26-Май-23, 17:57 (90)
      - Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его ис, Аноним, 26-Май-23, 23:57 (113)
  - Ну и почему он людям не нужен тогда , Сынакорзина, 26-Май-23, 10:06 (23) //
    - Людям PGP - нужен Государствам с жидомасонами, львогазелями - нет После Сноуде, Аноним, 26-Май-23, 11:07 (32)
  - Ахаха, люди для людей Серьезно Скорее отбитые зад ты для таких же отбитых з, Анонин, 26-Май-23, 11:05 (31) //
    - Можно, с определённой достоверностью https www opennet ru openforum vsluhforu, Аноним, 26-Май-23, 11:16 (35)
      - Но вот только никто не знает как именно была проведена проверка Все основано на , Анонин, 26-Май-23, 11:28 (39)
        
        Надо выставлять уровень доверия при подписи чужого ключа Результатом WOT есть не, Аноним, 26-Май-23, 12:12 (42)
        Ещё 2 графических примера цепочек доверия между ключами https git kernel org p, Аноним, 26-Май-23, 12:22 (43)
        
        Отчаиватся не надо Многие дистрибутивы NIX и проекты разработки свободного ПО , Аноним, 26-Май-23, 13:09 (49)
        
        Еще раз Вопрос не про уровень доверия при подписи чужого ключа А про то наско, Анонин, 26-Май-23, 12:48 (45)
        
        1 Нужно 5 цепочек к ключу Одной цепочки от однокласника Васи маловато Но есл, Аноним, 26-Май-23, 13:19 (50)
        
        То это ничего не значит, т к ты все равно не знаешь, можно ли верить этому 11А,, Аноним, 26-Май-23, 15:13 (68)
        
        Значат Вася знает Вову и подписал его ключ Вова знает Вадима и подписал ключ Вад, Аноним, 27-Май-23, 13:19 (126)
        
        потому что мельком видел его на тусовке каких-то фриковили на самом деле нихрена, пох., 27-Май-23, 16:11 (127)
        
        PGP на для всех подходит Необходимо быть трезвым и аккуратным при проверке Ф И , Аноним, 27-Май-23, 18:07 (132)
        
        нет, надо просто подписать пачку ключей неглядя Рано или поздно твою подпись под, пох., 28-Май-23, 16:53 (144)
        Чем больше цепочек доверия и чем они короче тем выше доверие к ключу PGP довольн, Аноним, 03-Июн-23, 07:43 (160)
        
        А что делать Геннадию, который всех этих людей никогда не видел и не увидит , Аноним, 27-Май-23, 22:34 (136)
        
        Гена хорошо знает Гришу и они обменялись публичными ключами Гриша встретился с В, Аноним, 03-Июн-23, 06:55 (159)
        
        Это всего одна из многих цепочек доверия Есть и другие цепочки доверия Общий у, Аноним, 26-Май-23, 13:37 (54)
  - Читаем https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-worse-than-u, Аноним, 27-Май-23, 05:48 (114)
- Вот целая статья https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-wo, Аноним, 26-Май-23, 09:56 (21)
- Потому что Authy, Google Authenticator требуют как минимум твой телефон, им хоче, paranoed, 26-Май-23, 14:29 (61) //
  - TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вы, Аноним, 26-Май-23, 18:01 (91)
- https www opennet me openforum vsluhforumID3 130586 html n OpenEcho 11, OpenEcho, 26-Май-23, 14:48 (66)
переставлять кровати проще чем чинить протекающую крышу , Аноним, 26-Май-23, 08:53 (3) //
- там крыша была как у поросенка ниф-нифа, ее давно сдуло легким сквознячком , пох., 26-Май-23, 16:13 (75)
- Только вот протекающая крыша у нас - это PGP Его уже лет двадцать никто в здрав, Аноним, 27-Май-23, 05:50 (115)
Т е если разработчик изначально сопровождает свой вредоносный пакет к нему ника, Аноним, 26-Май-23, 09:46 (17) //
- За ним Пативэн приедет , Аноним, 26-Май-23, 10:48 (28) //
  - Ага и Дед Мороз на Новый Год подарки не подарит , Аноним, 26-Май-23, 11:17 (36)
- Где ты в новости увидел текст, из которого это следует , Аноним, 26-Май-23, 14:08 (58) //
  - Где ты увидел что они что-то будут делать , Аноним, 26-Май-23, 16:05 (71) //
    - Не разводи клоунаду https www opennet ru opennews art shtml num 59168, Аноним, 27-Май-23, 06:14 (118)
Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакт, Аноним, 26-Май-23, 09:52 (19) //
- Отличная история Типа годами разрабатывать и поддерживать либу на PyPi тебе не , Аноним, 26-Май-23, 10:06 (24) //
  - А если он разряжен А если в нем и так куча TOTP-кодов А если TOTP-код будет ва, Аноним, 26-Май-23, 10:12 (25) //
    - Ну ёлки - так и пиши, что во время, гм, работы обе руки заняты, чо стесняться-, User, 26-Май-23, 11:01 (30)
    - Ты это серьезно Шикарные аргументы, чтобы похерить безопасность Чел, не развод, Аноним, 26-Май-23, 14:16 (59)
  - А зачем её защищать от компроментации Оставить sorry my account was hacked , Akteon, 26-Май-23, 10:37 (26)
  - да, заниматься соврешенно ненужной хренью внезапно может быть лень Ради очередн, пох., 26-Май-23, 13:24 (51)
  - Защитить от компрометации кем Вы не думали о том, что люди часто делаю либы для , Легивон, 26-Май-23, 19:47 (106) //
    - Вполне понимаю реакцию таких людей на попытку диктовать им условия Постольку по, Аноним, 28-Май-23, 00:01 (138)
- Есть консольные генераторы totp которые можно использовать в юнитах системд или , тотп, 26-Май-23, 11:14 (34) //
  - консольные или умеющие именно в скрипты Покажь последний хоть один, друг очень , пох., 26-Май-23, 13:25 (52) //
    - oathtool посмотрите, Stanislavvv, 26-Май-23, 15:25 (70)
      - о, спасибо, знатная говорящая лягуха, отлично дополнит генератор в Браузере , пох., 26-Май-23, 16:08 (73)
- Ну, вообще-то нет Это все равно двуфакторка, потому что если кто-то узнает твой, Аноним, 26-Май-23, 17:22 (80) //
  - вот откуда он его узнает если у тебя не свистнули и не взломали комп она вообще , пох., 26-Май-23, 18:07 (92) //
    - Блжд, ну в новости же написано в результате утечки учётных данных, использовани, Аноним, 26-Май-23, 19:04 (102)
      - П-дежь и чушь собачья там написана, ну и что с этого Особенно про методы социаль , пох., 26-Май-23, 21:50 (110)
        
        Оно https www avangard ru rus private cards card_with_display , Anonymus, 27-Май-23, 20:48 (133)
        
        Не, у этих оно было только для премиум-клиентов не знаю как сейчас, я давно от , пох., 27-Май-23, 21:38 (134)
- Пользуйся хардварным токеном Даже нажимать ничего не нужно, потрогал и лады , Аноним, 26-Май-23, 23:33 (112) //
  - а если я не хочу ради подписывания своего лефтпада платить безумные деньги за ко, пох., 27-Май-23, 16:12 (128) //
    - Не можешь позволить пару копеек на токен потратить 8212 двигай ручками и гене, Аноним, 28-Май-23, 04:55 (142)
      - Могу позволить себе просто не ублажать пиписек Не умеют в верификацию пакетов, , пох., 28-Май-23, 09:07 (143)
        
        Молодец, догадался Именно потребителям она и нужна Без потребителей 100 кода , Аноним, 28-Май-23, 17:29 (145)
PS Мну уже годы как усилил таким образом безопасность, привязав github на арен, Akteon, 26-Май-23, 10:43 (27) //
- а если арендодатель кинет или вообще исчезнет - что делать есть ли план Б , ivan_erohin, 26-Май-23, 10:54 (29)
- PSНекоторые спрашивают какой план Б Локальные репозитории в любом случае оста, Akteon, 26-Май-23, 11:11 (33) //
  - Почему бы тогда сразу не разрабатываться локально, зачем что-то выкладывать , Аноним, 26-Май-23, 11:18 (37) //
    - 1 Так исторически сложилось2 Там не один github , Akteon, 26-Май-23, 11:46 (41)
- все правильно сделал Правда следующая итерация - выпилить нахрен репо и положит, пох., 26-Май-23, 13:27 (53) //
  - А ссылку то на что давать Хостер однажды забыл прислать мне письмо, я и не запл, n00by, 26-Май-23, 14:04 (56) //
    - ну не будь лохом, пользуй хостера который просто списывает с карты Где взять кар, пох., 26-Май-23, 16:09 (74)
      - Карта у меня водилась в то время, и даже имелось полтора банкомата на всю деревн, n00by, 27-Май-23, 07:58 (122)
    - А ты как локалхостов ру поступай хости у себя под кроватью А сгорит вместе с д, Аноним, 28-Май-23, 17:32 (146)
      - в целом да, тебе это уже точно будет неважно говорю как краевед, успешно прое , пох., 28-Май-23, 20:24 (147)
        
        Не мы, а вы Я для себя и детей этот вопрос позитивно решил больше десяти лет то, Аноним, 29-Май-23, 02:37 (151)
        
        тот проект без страны был, увы, бесполезен Он именно местная история - теперь п, пох., 29-Май-23, 09:57 (152)
      - Как сказал один пот если где-то что-то зажигают, значит это кому-то нужно В общ, n00by, 30-Май-23, 09:23 (156)
- Ну так ты действительно усилил, потому что левый васян, получивший твой пароль, , Аноним, 27-Май-23, 05:54 (116)
Шли бы они нахер со своим PyPI Моя разработка всё актуальнее и актуальнее , Аноним, 26-Май-23, 11:37 (40) //
- но никому не нужна , anonnnn, 26-Май-23, 12:47 (44) //
  - раз мои проблемы решает - значит нужна , Аноним, 26-Май-23, 13:01 (47)
Все антиюниксовые проекты так или иначе следуют в фарватере корпораций и наследу, Аноним, 26-Май-23, 13:03 (48) //
- Судя по минусующим жироватого, таки там сейчас фаза ОТРИЦАНИЕ , Dzen Python, 26-Май-23, 21:33 (109)
- А почему вы не финансируете митинги и партии во всех странах за свободу от рабст, рабификатор, 27-Май-23, 06:40 (119)
- Вот где реальная киберсвобода, да , Аноним, 28-Май-23, 00:21 (140)
Зачем там двухфактор Почему просто пароля недостаточно Или тут опять повесточка, Аноним, 26-Май-23, 13:48 (55) //
- Новость не читай, комментарий пиши , Аноним, 26-Май-23, 14:06 (57) //
  - От взлома жопы разработчика паяльником, пальцев - дверью, благосостояния - щедры, Аноним, 26-Май-23, 14:35 (64)
- Очевидно, чтобы злоумышленники не получили доступ к пакетам, если узнали пароль , Аноним, 26-Май-23, 17:28 (88)
- чтобы тебя вычислять по видеокамерам и заставлять тебя бояться организовывать ми, рабификатор, 27-Май-23, 06:43 (120)
Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок ве, Аноним, 26-Май-23, 17:00 (77) //
- Я предлагаю тебе наконец-то почитать, как работает стандарт TOTP, и не пороть чу, Аноним, 26-Май-23, 17:24 (81)
- согласен можешь задумываться уже прям сейчас, annonn_2, 26-Май-23, 17:25 (82)
- тут некто Хэнлон пробегал Бритвой машет Будь очень осторожен , пох., 26-Май-23, 18:08 (93) //
  - Про замедление айфонов эплом ты теперь тоже кидался ненужной конспирологией , д, Аноним, 28-Май-23, 00:22 (141)
- Двухвакторку навязывают злонамеренные корпорации чтобы ограблять и обманывать ан, Самый Лучший Гусь, 26-Май-23, 18:48 (96)
- Например, сопровождающим пакетов Pypi, чтобы не обделаться на весь мир , Аноним, 26-Май-23, 19:06 (103) //
  - Типа, если потребовать от хипстера с жидким мозгом 2FA, он перестанет быть хипст, Аноним, 28-Май-23, 23:21 (150)
Пипишники облажавшись с проверкой публикуемых пакетов из-за собственной неспособ, YetAnotherOnanym, 26-Май-23, 18:49 (97) //
- Ловко ты их раскусил А если серьезно, то, если бы ты хоть когда-нибудь работал н, Аноним, 27-Май-23, 06:10 (117) //
  - Может быть и взвыл бы Но при этом, с другой стороны, понимал бы, что из пипи мо, YetAnotherOnanym, 27-Май-23, 08:53 (124)
Раньше комитили мусор все подряд, теперь будут комитить мусор все подряд,но с 2х, Профессор, 26-Май-23, 19:02 (101) //
- теперь вы все стали рабами и вам переписали права человека пока вы все были в ст, рабификатор, 27-Май-23, 06:44 (121)
Предлагаю им сделать подтверждение личности при регистрации по фотосету дикпиков, Аноним, 27-Май-23, 16:54 (129) //
- Они как раз начнут соревноваться в генерации дипфэйков дикпиков Впрочем для шту, Аноним, 28-Май-23, 22:55 (149)
Даю лайфхак, опробованный на гитхабе - просто выкладывайте QR код от TOTP в пабл, Аноним, 29-Май-23, 23:18 (155)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру