maybe_elf Dec 16 2022 at 05:44

GitHub потребует от всех пользователей включить 2FA к концу 2023 года

2 min

5.7K

Information Security * GitHub * Open source *

Comments 25

maeris Dec 16 2022 at 07:16

Кстати, а что нынче люди используют вместо FreeOTP? Там обновлений несколько лет не было, Андроид ругается.

Flowneee Dec 16 2022 at 07:56

FreeOTP+. По сути форк с доп. фичами. Больше всего нравится возможность входа в приложение по отпечатку/PIN.

Arhont375 Dec 16 2022 at 08:06

Не замена, но с удивлением узнал что KeePassXC тоже умеет в OTP. Как и мобильный KeePass2Android

dartraiden Dec 17 2022 at 12:05

Десктопный KeePass тоже умеет это «из коробки».

Bonio Dec 16 2022 at 10:20

Google Authenticator

dartraiden Dec 17 2022 at 12:04

Aegis или аndOTP.

Pinkbyte Dec 18 2022 at 10:27

AndOtp + Bitwarden. Обошелся бы одним Bitwarden, вот только 2FA-код самого Bitwarden хранить тоже где-то надо

UFO landed and left these words here

Kasyan666 Dec 16 2022 at 07:31

Просто мы – товар. Скоро еще что-нибудь потребуют. Например, обязательное наличие их приложения-"ключа" на смартфоне, и обязательно с геолокацией. Геолокацию на фейковость будет чекать нейросетка. Фейк == бан.

AlchemistDark Dec 16 2022 at 08:23

Сел вечером в самолёт из Москвы в Токио через Турцию. Утром прилетает: «Ваше местоположение меняется подозрительно быстро. Мы приняли решение прописать Вам бессрочный бан как боту».

huhen Dec 16 2022 at 08:27

2FA != (sms || email)

Это нормально работает через различные аутентификаторы, и не требует номера телефона, email.

Kasyan666 Dec 16 2022 at 08:42

Еще не понятно что хуже: SMS или e-mail, или же ПО-шпион на устройстве которое практически всегда с Вами (геолокация, микрофоны, камеры и пр).

GDragon Dec 16 2022 at 08:48

2fa через OTP прекрасно работает на устройствах без активных внешних интерфейсов связи.
Главное что бы время совпадало, но его можно и руками подправить.

Kasyan666 Dec 16 2022 at 08:51

Это пока правоторговцы еще оставили нам такую лазейку. Помню раньше и почти все банки давали набор одноразовых (оффлайновых) ключей для подтверждения операций. Многие ли банки сейчас такую услугу предоставляют?

dartraiden Dec 17 2022 at 12:08

При чём тут правообладатели?

molekyla Dec 17 2022 at 04:29

Современные мобильные ОС уже давно не дают доступа к датчикам без уведомления пользователя. Вы легко можете запретить доступ к датчикам

Kasyan666 Dec 17 2022 at 13:45

Могу. А приложение без этого работать не будет. Если я не ошибаюсь, так себя ведет приложение Сбербанка. Цепочка будет такая: нет сенсоров > нет приложения > нет соц. сети > нет работы и жилья.

dartraiden Dec 17 2022 at 12:12

Есть и другие варианты, например, аппаратные ключи.

Pinkbyte Dec 18 2022 at 10:29

Эм, AndOtp не требует подключение к сети вообще, коды генерятся оффлайн. Всякие Google Authenticator бэкапят базу кодов по сети. В AndOtp это задача ложится на самого пользователя, и я считаю что это правильно с точки зрения безопасности