Comments 112
Существуют же open source TOTP приложения, которые не привязаны к облачным сервисам.
Ну да. И плагин для браузера это одно из них.
KeePass + TOTP-плагин
Aegis на Андроиде неплохое такое.
И google Authentificator один из них. https://github.com/google/google-authenticator
А разве сам по себе TOTP не достаточен для 2FA? Не является ли аппаратный ключ избыточным? TOTP генерирую (и храню) с помощью KeePassXC.
Надеюсь, что вход по ssh они не отключат. Сейчас, если не залогиниться (допустим, лень проходить 2fa), то в браузере по кнопке clone показывают только опции с https и github cli, хотя по ssh всё ещё можно подключаться.
P.S. github (и майкрософт) редиски. Вместо того, чтобы просто работать, приходится тратить время на всякую фигню.
Вопрос в том, где хранится закрытый ключ от TOTP-последовательности.
Там нет закрытого ключа, там «общий секрет», одна копия хранится на сервере, остальные копии - хранятся всеми приложениями для генерации кода в которые ты его добавил, способами которые определяются приложениями. Есть не мало приложений которые хранят их только локально и никуда их не передают
Ещё вопрос в том, хочу ли я в принципе использовать 2FA.
Если человек ей пользуется только потому, что гитхаб его заставил, то хранить ТОТР хоть в браузере - вполне себе "обход" навязанных проблем.
И при этом даже "правильный" ТОТР на втором устройстве не сделает радикально безопаснее.
Я всё ещё могу склонировать любой свой репозиторий по ssh и сделать force push с чем угодно (один фактор - мой приватный ssh ключ). Я могу потерять "секретный ключ" для генерации ТОТР, а потом зайти на гитхаб, нажать кнопку "забыл пароль" и войти просто с помощью почты (один фактор - доступ к почте)
Yubikey может быть и OATH/TOTP-провайдером.
можно использовать либо
либо ,
либо .
Причем это без каких либо альтернатив
Я тут недавно с поддержкой ВК сражался. На одной из старых учётных записей решил включить двухфакторку. При включении поступает звонок на номер, к которому давно доступа нет. Отвязываю номер. Теперь двухфакторку не включить.
Пишу в поддержку, отвечают, что номер телефона безопаснее, чем второй фактор генерируемый приложением. Почему? Ответить не смогли.
Занавес.
Нет, я понимаю, что их закон обязывает собирать у всех номера телефонов, но говорить об этом поддержка не хочет, по какой-то причине. "Номер телефона безопаснее".
Так они вымогали телефоны задолго до того, как этого стал требовать закон. Ради все той же безопасности, ага.
Ну значит методичку "забыли" поменять. Я помню, что с какого-то времени стали номер требовать, но тогда не было двухфакторной аутентификации, если правильно помню и их сказки ещё хоть как-то были похожи на правду. Но сейчас это звучит смешно.
Вообще никак не похожи: "забыли" номер? Не беда, просто укажите новый и получите доступ к учетке!
А, ну да, кстати. Не подумал об этом, у них до сих пор так. Старый номер отвязал, новый можешь привязать. Б - безопасность.
Определенный теоретический-гипотетический смысл в этом есть. Каждый +7 номер ведь привязан к человеку (а злоупотреблений в этой сфере нет). Соответственно, если взломщик представляется кем-то и взламывает, привязав свой номер телефона - он, тем самым, "показывает паспорт", и если дальше будет проблема - с него могут спросить.
Для нас это допущение выглядит смешно, но для большинства пользователей ВК это вполне себе непреодолимая мера защиты, они даже не догадаются загуглить, как получить номер для регистрации.
У "Мегафона" есть "дополнительные" номера за 3 руб/сутки, что дешевле даже всех этих способов с гуглением (если нас не интересует анонимность), но ВК активно борется с их использованием, хотя казалось бы: известно, кому в каждый конкретный момент был выделен тот или иной номер.
Номер телефона не безопаснее, и никогда не был. Но им это тупо удобнее, и одновременно проще для основной массы людей чем какое-то непонятное приложение с одноразовыми кодами. Куча людей даже не знают своих паролей от почт…
Ну к слову сказать, в iOS с недавнего времени генератор кодов встроен в связку ключей. На Android такое могло появиться и раньше (предполагаю, с Windows Mobile сразу на iOS пересел и по этому не в курсе подробностей), Google Authenticator штука древняя.
Google Authenticator штука древняя.
И стала жутко глючной и тормозной с недавнего времени. Отправил ее в пешее эротическое путешествие. Aegis замечательная альтернатива. И удобнее и есть возможность зашифрованного бэкапа, соответственно и восстановление из него.
А по теме статьи, Желтушный заголовок и передергивание в самой статье.
Надуманность данного повода доказывается тем фактом, что в качестве
двухфакторной аутентификации можно использовать либо специально
приложение, либо SMS, либо аппаратный ключ безопасности. Причем это без каких либо альтернатив
Так сами же ниже пишете, что есть альтернатива в виде TOTP приложения.
Зачем же тогда нужен аппаратный ключ безопасности, стоимостью в 60$?
Пользуйтесь любой аппликашкой TOTP бесплатно, коих вагон и маленькая тележка без привязки к "вместо привязанного к сетевой учетной записи постороннего приложения" Но уж точно не в плагине браузера, это вообще не безопасно. TOTP должно запускать на каком нибудь другом устройстве
Аппаратный ключ безопасности разрешают настроить только после активации с помощью СМС или другого мобильного приложения.
Yubikey, как я уже писал выше, вполне себе аппаратный ключ и может быть использован как TOTP-генератор. Итого утверждение про необходимость СМС при наличии Yubikey — ложное.
Итого утверждение про необходимость СМС при наличии Yubikey — ложное.
Вы читали статью или сразу на комментарии отвечаете?
Я знаю, что аппаратный ключ не требует СМС. Это GitHub требует активации 2FA с помощью СМС или мобильного приложения, перед тем как разрешить привязать аппаратный ключ к учетной записи.
Простите, но вы даже комментарии не читаете. Записать вам видео как при помощи Yubikey и без мобильного приложения добавить его как U2F и TOTP без SMS или расширений для браузера?
Но я дорого беру :)
Конечно, будьте так добры.
Оферту о дороговизне видео вы, стало быть, принимаете? 50USDT за 20 минут моего времени.
У вас для этого в настройках есть специальный раздел "донат". Привязываете кошелек и клепаете свои супер видео с разоблачениями таких как я нерадивых авторов. Сколько соберете, все ваше.
Простите, но такой вариант мне не подходит. Думаю не стоило делать такой кликбейтный заголовок, не разобравшись в вопросе. «Срывание покровов» оно такое, плохо заканчивается, если в вопросе не разбираешься.
Ну так раз вы разбираетесь в вопросе, то велком - срывайте покровы и клепайте разоблачения на кликбейтные заголовки.
срывайте покровы и клепайте разоблачения на кликбейтные заголовки.
https://habr.com/ru/articles/779478/#comment_26248004
Вот пожалуйста. После пассажа о Google Authenticator
"А по теме статьи...." и тд
Ну и? В чем проблема, другое мобильное приложение?
разрешают настроить только после активации с помощью СМС или другого мобильного приложения.
Но это же неправда. Зачем такое писать на сайте, много пользователей которого эту процедуру уже прошли?
К слову сказать, гитхаб умеет и в passkey, и что google, что apple ещё несколько лет назад принесли поддержку FIDO2. Так ещё и теперь активно продвигают passkey, благодаря чему телефоны умеют уже и в него.
Вот вам и аппаратный токен, если у вас есть современный ios/android-телефон. Без дополнительных денежных вложений (если он у вас уже есть)
Только у passkey проблема пока еще в Лисе на Линуксе, не работает в Firefox passkey. Либо Хром, либо форточки.
Если вы согласны использовать телефон, можно просто поставить любое приложение или пользоваться дефолтным и больше не заморачиваться.
Проблемы возникают, когда пользователей заставляют использовать телефон (СМС или мобильное приложение), обосновывая это безопасностью. Хотя не меньшую безопасность можно реализовать и без использования телефонного номера / мобильных приложений.
Эти TOTP-аутентификаторы сейчас завезли примерно в каждый парольный менеджер, не считая кучи отдельных оперносорсных приложений, ни одно из которых не привязано к телефону. Причем TOTP в браузере (и вообще на основном устройстве) — так себе идея, слегка противоречащая двухфакторности.
Поэтому заголовок про обход обязательной привязки к телефонному номеру просто некорректен, речь просто об использовании еще одной штатной возможности.
Вообще-то в статье речь про то, как настроить на GitHub аутентификацию с аппаратным ключом безопасности самым простым способом, обойдя обязательное требование сервиса о наличии уже активированной 2FA (без помощи приложений и дополнительных сетевых учеток на телефоне или отправки SMS).
Обходим обязательную привязку телефонного номера к своей учетной записи на GitHub
Ожидание: Github начал требовать номер телефона, находим уязвимость в интерфейсе или API и пропускаем шаг привязки телефона.
Реальность: ну обязательная привязка необязательная, просто кликните кномпочку с фактором не про номер телефона
Реальность: ну обязательная привязка необязательная, просто кликните кномпочку с фактором не про номер телефона
Я скорее всего пропустил этот момент. Может покажете, на какую кнопочку мне нужно было кликнуть, чтобы активировать 2FA без номера телефона или мобильного приложения?
Может покажете, на какую кнопочку мне нужно было кликнуть, чтобы
активировать 2FA без номера телефона или мобильного приложения?
И все таки, объясните мне недогадливому, пожалуйста. Чем вам неугодило мобильное приложение TOTP для 2FA?
Мне не нравится использовать для этих целей свой телефон :-)
для этих целей свой телефон
Кто ж вас заставляет? Используйте что угодно, но точно не браузер из которого вы коммуницируете с Github
Вообще-то я использую аппаратный ключ с физическим подтверждением выполняемого действия. Вам не кажется, что это немного надежнее, чем использование мобильного приложения?
Так не используй... У меня Authy и на компе, и на телефоне. Да, по номеру телефона, и да, это безопасно. Вместо нытья о том, что все делается "ради вашей безопасности", давно пора понять, что так оно и есть.
Чем вам неугодило мобильное приложение TOTP для 2FA?
Необходимость доставать телефон и ковыряться в нём, работая за ноутом или десктопом? Идея дурацкая в принципе. То же касается получения кодов на sms. Годится разве что для обывательских развлекательных площадок типа "одноклассников".
Кстати, в защиту автора, если бы он писал не про Github, а про Гос Услуги, я бы с ним согласился. Там сделали действительно дурацкую систему 2FA. При ее активации, вы обязаны выбрать и смс и если хотите, еще что нибудь(TOTP, ключ... ). Вроде все хорошо, но при выключении опции смс(когда уже добавили дополнительные 2FA ) вырубается 2FA вообще. Т.е. невозможно пользоваться 2FA без смс Все в точности, как у автора в этой статье. :) Ну не бред?
При ее активации, вы обязаны выбрать и смс и если хотите, еще что нибудь(TOTP, ключ... ).
Не выбирал смс на госуслугах, только TOTP. Но там проблема с тем, что номер в принципе удалить нельзя.
Как только я выключал 2FA опцию смс, вырубалась вообще вся 2FA, а без вырубания 2FA смс, оно приходит на телефон. А нафиг мне на телефон, если мне надо TOTP. Сам номер телефона я и не собирался удалять естественно.
В саппорт пробовали писать? У меня включена 2FA, именно TOTP, никаких смс мне не приходит.
Сам номер телефона я и не собирался удалять естественно.
Не знаю, что в этом естественного, я хотел удалить, но это невозможно. Номер - это огромная дыра в безопасности, потому что он вам не принадлежит и его легко передадут другому.
В саппорт пробовали писать?
Естесственно. Обосновал все логично, что 2FA он на то и 2FA, что нужно/можно выбирать независимо и равноправно альтернативный вариант, а не как у них сейчас. Получил отписку для "дебила" и дрожу, потому что номер телефона на маму был оформлен, а она умерла. А я не в России и неизвестно когда смогу ногами прийти в МФЦ. Пока номер работает, но уже Теле2 требует подтвердить его фото паспорта. А паспорта маминого у меня нет, только номер, серия. Короче, квест еще тот.
Я бы пробовал еще раз писать/звонить. У меня TOTP работает без смс. В FAQ они у себя тоже самое про TOTP пишут.
У меня в профиле вот так
Там радиобаттоны, там вообще нельзя одновременно смс и TOTP выбрать.
Аааа, очень извиняюсь, напраслину навел на Гос услуги. Это на mos.ru такая холера с 2FA, а не Гос услуги. Перепутал. Каюсь. :( А на mos.ru сейчас из-за бугра вообще не дает зайти, сайт недоступен. Видимо режут пакеты с IP не из СНГ
:)
Видимо режут пакеты с IP не из СНГ
Это массовая беда сейчас. Режут не только зарубежные IP, но и IP российских датацентров некоторые типа мосэнергосбыта.
"дрожу, потому что номер телефона на маму был оформлен, а она умерла."
И в чем проблема? Или вы в наследство не вошли ещё? 6 месяцев и номер ваш. Если вы один наследник то в завещании можно не упоминать номер.
К МТС можно переоформить как пользователь, а в других за 200 рублей взятки вообще.
Давно пользуюсь с Госуслугами TOTP без всяких СМС, всё работает. Возможно, для новых регистраций / активаций 2FA что-то поломали, конечно.
Он про mos.ru говорил.
При первом включении 2FA для Google-аккаунта тоже сначала привязывают телефон, только потом дают выбрать другие варианты. Фейсбук с твиттером вроде бы тоже так себя ведут, давно не проверял. Так что попавший под раздачу Github тут скорее приятное исключение.
Другими словами, чтобы использовать аппаратный ключ, нужно предварительно включить двухфакторную аутентификацию с использование SMS (читай номера телефона), либо программы, которая привязана к сетевой учетной записи Googgle, Microsoft или другого сервиса и опять же с привязкой к номеру телефона.
Вы ерунду пишите какую-то. Github вполне себе TOTP позволяет в качестве второго фактора. А коды для него вы хоть самописным скриптом в 15 строк на питоне генерить можете, никаких учетных записей "Googgle, Microsoft или другого сервиса" для этого не требуется. Тем более не требуется смс. Загуглите "TOTP code generator python", например. Там не рокет сайнс.
Лайфхак кто не хочет запариваться и хочет получать СМСки: Ставим страну Казахстан и вводим свой номер. Я с Билайном так провернул, месяца 2 полёт стабильный.
[Мыши и Кактус.jpg]
ИМХО Сам факт, что крупнейший репозиторий кода попал под контроль корпораций - черный день для всего свободного сообщества. Причем QWERTY эффект делает все возможные альтернативы менее привлекательными. Что печально.
Ваше же решение работает только до тех пор, пока MS не потребуют еще чего нибудь. Например, фото разворота паспорта (как уже требуют некоторые биржи)...
Ну если уж на чистоту, то guthub никогда не принадлежал свободному сообществу. Он всегда был коммерческой компанией и в один момент просто сменил собственника.
И мыши вынуждены кушать кактус guthub, потому что на ГитХабе самое большое сообщество, в отличии от того же gitflic.ru (который кактус еще хуже).
на ГитХабе самое большое сообщество
Это я и имел ввиду под кверти эффектом.
Да, я понимаю. Так же как и у него не будет в ближайшее время альтернатив, т.к. его самое сильное конкурентное преимущество перед остальными репозиториями - это именно сообщество.
Мне кажется именно по этому они не хотят сразу делать явную привязку к номеру мобильника (что бы не отпугнуть пользователей) и в тоже время они максимально затруднили использование альтернатив мобильнику для 2FA (по крайне если все делать по их штатной документации).
Или я тупой? Вы из раза в раз утверждаете что "максимально затруднили использование альтернатив мобильнику для 2FA". Вам все чуть ли не орут в голос, что ничего подобного и приводят примеры/доказательства, что нет, а вы со странным упорством, продолжаете нести эту пургу про "явную привязку к номеру мобильника". Где? Где вы это увидели/берете?
Так не нужно орать, сотрясать воздух или обещать смонтировать супер крутое разоблачительное видео если денег заплатят.
Достаточно один раз привести ссылку на инструкцию с GitHub, где написано как подключить аппаратный ключ безопасности без использования какого либо мобильного приложения или СМС.
Github действительно принуждает использовать для 2FA либо TOTP (не мобильное приложение, а TOTP) либо смс, и только потом позволяет добавить U2f токен.
Но как вам уже сказали, ваш yubikey также может быть этим самым TOTP-провайдером (да, вы можете сделать генератором кодов сам токен), как и браузерное дополнение, как и приложение на любой разумной платформе (не обязательно это телефон).
Сделано это скорее из исторических причин и опасений за поддержку на мобильных устройствах, реальной необходимости принуждать к TOTP/смс для активации U2f я не вижу
P.S. Я понимаю что вам не подходит passkey, но для его добавления - TOTP не нужен
Достаточно один раз привести ссылку на инструкцию с GitHub, где написано
как подключить аппаратный ключ безопасности без использования какого
либо мобильного приложения или СМС.
Понятно, это не я тупой....
Вам уже тыц таких ссылок и советов привели. Даже с картинками. Вот только не надо передергивать. В статье и в заголовке, вы утверждаете, что без смс никуда. А теперь вы просите ссылку на подключение донгла.
Вам уже кучу таких ссылок привели.
Ну так скопируйте хоть одну из целой кучи.
И передергиваете именно вы, я утверждаю, что согласно документации GitHub "без СМС или мобильного приложения" ...
Windows 11 поддерживает мобильные приложение android. Я не понимаю...
Я работаю под Linux, но и тут можно запустить Android приложение.
Вот только вам не кажется, что это немного сложнее приведенного в статье способа?
Сложнее чем нативная часть Windows? Android subsystem...
Да хоть Linux subsystem. Ведь это же будет означать, что данные пляски с бубном запуском Andorid приложения придется выполнять каждый раз при необходимости авторизации на GitHub.
Уж простите, но в этом вопросе я на стороне @rsashka, android subsystem? Тянуть ради totp оверхед в виде виртуализации? Нафиг-нафиг, вон, keepass есть и бездна других приложений
Обходим обязательную привязку телефонного номера к своей учетной записи на GitHub