The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"NPM для усиления защиты уходит от использования TOTP 2FA и классических токенов"  +/
Сообщение от opennews (ok), 23-Сен-25, 20:30 
После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости,  в репозитории NPM решено реализовать дополнительные меры защиты:...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=63930

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "NPM уходит от использования TOTP 2FA и классических токенов ..."  +1 +/
Сообщение от FSA (ok), 23-Сен-25, 20:30 
[РКН]. Я только понял как удобно использовать TOTP... Это заговор. Всё то, что мне начинает нравится, скатывается... KDE, Gnome, Ubuntu, Jabber...
Ответить | Правка | Наверх | Cообщить модератору

3. "NPM уходит от использования TOTP 2FA и классических токенов ..."  +1 +/
Сообщение от Аноним (3), 23-Сен-25, 20:33 
Джаббер-то где и чем скатился, пардон?
Ответить | Правка | Наверх | Cообщить модератору

28. "NPM уходит от использования TOTP 2FA и классических токенов ..."  +/
Сообщение от Аноним (28), 23-Сен-25, 22:41 
Ровно в тот момент, когда оказалось что Whatsapp не будет включать федерацию.
Ответить | Правка | Наверх | Cообщить модератору

11. "NPM уходит от использования TOTP 2FA и классических токенов ..."  +2 +/
Сообщение от Аноним (11), 23-Сен-25, 20:52 
За 5 лет использования аппаратного FIDO токена убедился, что это примерно в 10 тысяч раз удобнее чем ввод кодов с телефона.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (3), 23-Сен-25, 20:33 
Вот это их хлопнуло по голове. Интересно, они понимают что большинство контрибьюторов на три буквы их отправит с этими пожеланиями?

Нормальный TOTP в качестве MFA - это достаточно защищённо. Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.

NPM, походу, решил себя закопать.

Ответить | Правка | Наверх | Cообщить модератору

13. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от morphe (?), 23-Сен-25, 20:55 
> Все вот эти вот мертворожденные высеры с FIDO - это для шизиков уровня бородача Столлмана, которые никуда никогда не поедут, и дико ограничат людей как в железе, так и в софте.

Fido2 уже везде есть. Нет возможности использовать железный ключ - в браузерах есть passkeys.

TOTP намного менее удобно чем нажать на nitrokey стоящий в usb порту

Ответить | Правка | Наверх | Cообщить модератору

14. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (3), 23-Сен-25, 20:57 
Не всё в жизни - это браузер. По крайней мере, у меня.
Ответить | Правка | Наверх | Cообщить модератору

22. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  –1 +/
Сообщение от morphe (?), 23-Сен-25, 22:07 
> Не всё в жизни - это браузер. По крайней мере, у меня.

Браузеры используют системное хранилище ключей по идее

Не уверен как это работает в софте, у меня уже лет 8 железный ключ есть, знаю лишь что софтверные u2f давно везде существуют

Ответить | Правка | Наверх | Cообщить модератору

27. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от penetrator (?), 23-Сен-25, 22:30 
а чем это отличается от рандомного пасворда в текстовом файле? иллюзией изоляции и защищенности?
Ответить | Правка | Наверх | Cообщить модератору

29. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (28), 23-Сен-25, 22:43 
Файл можно незаметно украсть. Лаптоп — нет.
Ответить | Правка | Наверх | Cообщить модератору

36. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (36), 23-Сен-25, 22:52 
Лаптоп можно случайно полить кофе.. забыть в такси. причём вместе с сумкой где и резервный токен лежал..

еще раз, если чел озаботился САМ безопасностью то резервный токен у него будет лежать отдельно, но он и на поддельное письмо скорее всего не клюнет, и TOTP не подарит... а если клюнет, то скорее всего и токен будет пролюблен при первой же возможности.

Ответить | Правка | Наверх | Cообщить модератору

38. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от penetrator (?), 23-Сен-25, 22:54 
> Файл можно незаметно украсть. Лаптоп — нет.

если у тебя появился доступ к лаптопу и его файлам на уровне - что хочу то ворочу, то ты сможешь встроиться в пайплан и тебе никакой 2FA не поможет

ну как можно надеяться на магический токен, если систему уже скомпрометирована? ну это же сюр

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

4. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +2 +/
Сообщение от Аноним (4), 23-Сен-25, 20:37 
Не проще ли просто не пользоваться ни nodejs, ни npm? Да и вообще джаваскриптом тож не пользоваться.
Ответить | Правка | Наверх | Cообщить модератору

6. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  –2 +/
Сообщение от пох. (?), 23-Сен-25, 20:37 
не пользуйся, кто тебе не дает?

Ответить | Правка | Наверх | Cообщить модератору

15. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +1 +/
Сообщение от Аноним (15), 23-Сен-25, 21:10 
Он и не пользуется. И у него никаких проблем в жизни нет типа описанных в соседних новостях. Вот он и спрашивает, для чего этим пользуются другие.
Ответить | Правка | Наверх | Cообщить модератору

5. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +4 +/
Сообщение от пох. (?), 23-Сен-25, 20:37 
такое впечатление, что они спросили совета как жыть - у чатгопоты.

(последний пункт еще мог бы иметь какой-то смысл, но все остальное - какой-то полный bullshit составленный по мотивам модных трендов без малейшей попытки понять причину и механизм последних взломов)

Ответить | Правка | Наверх | Cообщить модератору

7. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (-), 23-Сен-25, 20:40 
FIDO2 хорош тем, что ключ не будет выдан, если домен отличается. TOTP от такого типа атак не защищает.
Ответить | Правка | Наверх | Cообщить модератору

20. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +3 +/
Сообщение от Аноним (36), 23-Сен-25, 21:59 
и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что у Вас лично их 5 шт  запасных настроено, но у среднего обывателя он был ровно один.)

а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".

Ответить | Правка | Наверх | Cообщить модератору

24. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  –1 +/
Сообщение от morphe (?), 23-Сен-25, 22:14 
> и тут ваш fido2 девайс внезапно сдох и...... (да, я понимаю что
> у Вас лично их 5 шт  запасных настроено, но у
> среднего обывателя он был ровно один.)

Большинство сайтов требуют регистрировать минимум 2 ключа, и что android, что macos, что windows из коробки имеют системную реализацию на базе tpm. В Linux тоже можешь поставить. Либо просто купить 2 железных ключа, они стоят мало, а большинство имеют у себя на борту opengpg, через который ты сможешь и письма подписывать, и по ssh авторизоваться куда угодно, и вообще что угодно делать.

Ну и не говоря о том что железные ключи практически бессмертные.

Ответить | Правка | Наверх | Cообщить модератору

26. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от morphe (?), 23-Сен-25, 22:18 
> а если там есть рекавери вариант входа, для получения нового секрета для нового токена (а он есть), то "мы просто свели задачу к предыдущей".

Ну и обычно с fido2 у тебя либо скачивается код восстановления, либо только через саппорт
Не думаю что кто-то это иначе реализует.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

32. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (36), 23-Сен-25, 22:46 
Да да, 2 недели назад дядю как раз отправляли фейковым письмом не восстановление 2ФА кодов... ну отправят на восстановление FIDO2... и получат код сами.
Ответить | Правка | Наверх | Cообщить модератору

34. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от morphe (?), 23-Сен-25, 22:50 
> ну отправят на восстановление FIDO2... и получат код сами.

Потому что человек привыкает к подобным действиям и выполняет их машинально, не думая, и это проблема всех подобных схем основанных на людях.

Код восстановления же никто на постоянке не использует (= у человека больше времени на подумать не делает ли он чот не то), а FIDO2 от подобного MITM защищён (= машинально применять можно).

Ответить | Правка | Наверх | Cообщить модератору

8. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +4 +/
Сообщение от Аноним (8), 23-Сен-25, 20:42 
А TOTP чем-то им не угодил?
Ответить | Правка | Наверх | Cообщить модератору

10. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (11), 23-Сен-25, 20:50 
Тем что все его ставят аддоном в браузер и хранят рядом с паролем.
Ответить | Правка | Наверх | Cообщить модератору

12. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +1 +/
Сообщение от morphe (?), 23-Сен-25, 20:52 
Злоумышленники создают фейк сайты где запрешивают оба фактора. От такого totp не спасает
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

16. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (36), 23-Сен-25, 21:31 
А что из предложенного спасёт ?
Ответить | Правка | Наверх | Cообщить модератору

18. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +1 +/
Сообщение от Секрет Полишинеля (?), 23-Сен-25, 21:43 
Правильно настроенный парольный менеджер. Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной. И никакой 2FA не нужен. Только тссс!
Ответить | Правка | Наверх | Cообщить модератору

19. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (36), 23-Сен-25, 21:55 
Но это на стороне клиента делается, а не на стороне сервера.. если клиент очень хочет подарить свой доступ третьим лицам, он это сделает несмотря на препоны..
Ответить | Правка | Наверх | Cообщить модератору

21. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (36), 23-Сен-25, 22:05 
ну и
>Переход на гранулированные токены, время жизни которых ограничено 7 днями.
>Классические токены будут объявлены устаревшими и доступ с их помощью будет
> по умолчанию отключён.

тут все это автоматические автоматизации по выкату версий через гит пуш, билт, тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать руками токен можно первые пару месяцев, потом это задолбает даже самых упёртых.

ну и таки если ты постоянно чтото разрабатываешь, то токен актуальный ты таки положишь, и тогда в приведённой несколько дней назад схеме ничего не поменяется, червю глубоко нас рать на то, временный он спёр токен или постоянный, что бы запушить "одно небольшое дополнение к безусловно хорошему пакету".

Ответить | Правка | Наверх | Cообщить модератору

25. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от morphe (?), 23-Сен-25, 22:16 
> тут все это автоматические автоматизации по выкату версий через гит пуш, билт,
> тест, коммут в npm, идут лесом.. раз в 7 дней перевыпускать
> руками токен можно первые пару месяцев, потом это задолбает даже самых
> упёртых.

Для CI предлагается OIDC (последний пункт), без постоянных токенов.

Ответить | Правка | Наверх | Cообщить модератору

30. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (36), 23-Сен-25, 22:43 
И как оно поможет не получить секрет в момент штатной сборки (и, напомню, тут же его и  применить для своих не шибко чистых целей, будь он хоть 5 минутной жизни)?

тут как бы или мы держим токен в секрете, и тогда не очень важно, 10 минутный он или годовой.. или мы его пролюбливаем на сторону и он сражу зе и пременятся "по назначению".

Это смахивает на проверку на рамках с выворачиванием карманов на входе на концерты и в театры.. 20 лет выворачивали чтобы злые дяди не прошли... задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов. но как только дяди захотели войти, то случилось так, что как раз от них то рамки не помогают ни разу.

Ответить | Правка | Наверх | Cообщить модератору

33. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от morphe (?), 23-Сен-25, 22:47 
> И как оно поможет не получить секрет в момент штатной сборки (и,
> напомню, тут же его и  применить для своих не шибко
> чистых целей, будь он хоть 5 минутной жизни)?

Он за пределы CI не выходит

Атаки на CI конечно существуют, спасибо кривизне гитхаб экшонов, но всё же более редкие чем атака лично на разработчиков.

> задолбали своими проверками и задержками начала концертов и спектаклей всех и зрителей и артистов

Объективно fido2 ключ удобнее и безопаснее чем TOTP, при правильной реализации его невозможно украсть (через софт, физически конечно можно, но это не тот сценарий атаки)/обмануть через MITM/ещё как-то

Ответить | Правка | Наверх | Cообщить модератору

37. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от morphe (?), 23-Сен-25, 22:53 
> Он пароль не отдаст фейковому сайту и не покажет коллеге за спиной.

Сайты изменяются, и парольные менеджеры перестают определять формы входа порой. А на некоторых сайтах автозаполнение просто не работает.

Поэтому у людей всё равно есть привычка механически копировать и вставлять данные, и в итоге они не защищены.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

23. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Bob (??), 23-Сен-25, 22:11 
Пора бы уже "галочки" подтверждённых адресантов и адресатов делать.

ООО Mozilla и условный "анонимный" Вася, аппрувнутый через GNU.ORG

p.s.: о Васе знает только ООО GNU.ORG (сразу вайпает данные, после проверки на валидность). А Мозилла верит GNU и держателю Васеного "идентификатора".

Ответить | Правка | Наверх | Cообщить модератору

31. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (28), 23-Сен-25, 22:45 
Опять дети WoT изобретают. Ты бы ещё key signing party предложил провести.
Ответить | Правка | Наверх | Cообщить модератору

35. "NPM для усиления защиты уходит от использования TOTP 2FA и к..."  +/
Сообщение от Аноним (35), 23-Сен-25, 22:51 
Шиза крепчала. Не нужно. Не взлетит. Красная полоска тоже не нужна. Хватит. Достаточно.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру