Я думаю, есть грани и исключения. Но мы зависим от платформы, вряд ли она всегда вам будет давать все короткие видео обучающего контента.
Да и достаточно один раз посмотреть какой-то глупый и смешной ролик, и рекомендации сразу испортятся. И тут скорее про общеупотребляемый контент, который несет в себе только дофаминовый допинг, а не что-то полезное
Точно такая же проблема у всех TOTP менеджеров и менеджеры паролей, которые поддерживаются TOTP на том же устройстве, Keepass, Bitwarden, Vaultwarden - если вы переживаете, что ваше устройство могут скомпроментировать и вы готовы пожертвовать удобством, ради безопасности, то ваш вариант не использовать все это, а раскидывать на другие устройства. Тоже самое относится ко всем расширениям в браузерах, которые автоматически подставляют totp и пароли.
На счет использования только паролей без 2fa я не согласен, ваш пароль могут скомпроментировать, не взламывая ваше устройство, и большинство учетек происходит по вине пользователя, а не устройства. Сейчас вы скорее зайдете на фишинговый сайт и оставите там свой пароль, чем вас взломают.
Да и Google Authenticator может попасть под ту-же проблему, многие используют сохранение паролей в браузерах, а это значит, что он доступен и с мобильного устройства, если у вас "увели" телефон, то тут точна такая же проблема в безопасности (опуская момент, что вам нужно разблокировать устройство, получить фейсайди, если он есть)
Все это - демагогия на тему безопасности не совсем под тематику этой статьи, она больше про удобство получения totp через терминал и TUI, а не про то, как это безопасно. У каждого разная потребность в уровне безопасности и удобства, так что я не могу согласиться с вашими словами, но ваше мнение вполне обосновано с вашей стороны
Там где-то выше уже происходит по этому поводу дискуссия, можете присоединиться :D
Я считаю должна быть какая-то грань между безопасностью и удобством. Можно зашиться в безопасность, понаставить тройных мультифакторок и на каждый ввод TOTP еще добавлять пароль для подтверждения, что это вы, который будет меняться каждый час, в зависимости от времени суток. Как минимум, если вы по какой-либо случайности слили пароль или кто-то (имеется ввиду сервис) слил ваш пароль, то 2Fa, где бы хранилка не находилась, обеспечит эту безопасность.
А так, что устройство могут скомпрометировать, что файлы слить. Осторожность должна быть, но не уходить же в крайности. Тут уже лично решайте, как вы обеспечиваете себе безопасность, хранить это на разных устройствах или нет.
Спасибо) не вижу смысла переживать из-за безопасности отечки TOTP в буфер обмена, так как его время жизни очень ограничено. В основном до 30секунд, но бывает окна в пару минут до и после. Плюс, если вы уже использовали TOTP, то обычно один и тот же нельзя использовать дважды. Когда вы копируете с Google Authenticator TOTP, то он так и будет висеть в буфере до момента, пока его не затрут.
В случае потери приватного ключа потеряете возможность расшифровки секретов, поэтому лучше такого не допускать.
Вот на счет автоматической миграции @aamonsterи @adrozhzhov писали, как можно получить ключи из Google Authenticator, что упрощает процесс переноса. Но я пока не ознакамливался, как руки дойдут, то смогу посмотреть и может получится сделать авто-импорт
постараюсь описать в ближайшее время, там по сути все просто для тех, кто знаком с vim j - вниз k - вверх enter - выбрать esc - отменить или назад ? - помощь (help) g - наверх G - вниз q - выйти d - если в просмотре ключей, то удалить ключ / - если в просмотре ключей, то фильтрация, дальше вводите название
ну почему история не про tmux и vim, если эти инструменты я использую постоянно, то почему бы не сделать в их системе и управлении. У меня много всяких TUI для работы с разными направленями, от теста, до работы с БД, докером
Мне приходится день начинать всегда с TOTP, и это примерно около 6-7 сайтов, плюс бывает приходится из разных браузеров. Нетривиальные задачки, когда под эмуляторами сидишь или в виртуализации и прям оттуда приходится вводить.
Вообще данная туишка появилась, когда мне в одном сервисе требовалось прикрутить 2Fa, что для дебага требуется постоянно добавлять новые секреты и удалять их. Понятно, что не каждый день прикручивается 2Fa, но спустя пол года пользования вижу только плюсы от использования в терминале - так как это основная моя среда пребывания :D
В целом, можно экспорт ключей сделать - не особо сложна задачка, но вот целесообразность ее - тут надо подумать, мне пока приходилось только в нее импортить, но не экспортить :D
Command + tab - go2fa уже открыт, дальше просто накликиваю клавиатурой hjkl и на Enter копирую и обратно Command + tab + Enter. Тут все происходит без мышки и тачпада, что в моем случае очень удобно, так как не переключается контекст клавиатуры и мыши (тачпада)
У браузерных плагинов есть проблема - они ставятся в браузер, для работы я использую Safari, Chrome, Firefox и Firefox Dev - поэтому тут либо ставить и синхронить на все, а скорее всего под каждый браузер еще разное расширение будет, либо использовать мобилку, либо использовать GUI, что в данном случае звучит более логично.
Ну и опять же, мы делаем и подбираем софт под себя, чтобы было удобно, в моем случае использовании TUI обосновано привязкой к терминалу и вводу VIM, я не задумываюсь, когда использую такое управление и происходит это максимально быстро
Я думаю, есть грани и исключения. Но мы зависим от платформы, вряд ли она всегда вам будет давать все короткие видео обучающего контента.
Да и достаточно один раз посмотреть какой-то глупый и смешной ролик, и рекомендации сразу испортятся.
И тут скорее про общеупотребляемый контент, который несет в себе только дофаминовый допинг, а не что-то полезное
tgt как минимум работает и развивается, есть энтузиасты
Больше нравится TUI для телеграмма
https://github.com/vtr0n/TelegramTUI
или
https://github.com/FedericoBruzzone/tgt
вроде и в терминале, а вроде и телеграм
UPD: просто примеры (могут не все работать)
Точно такая же проблема у всех TOTP менеджеров и менеджеры паролей, которые поддерживаются TOTP на том же устройстве, Keepass, Bitwarden, Vaultwarden - если вы переживаете, что ваше устройство могут скомпроментировать и вы готовы пожертвовать удобством, ради безопасности, то ваш вариант не использовать все это, а раскидывать на другие устройства. Тоже самое относится ко всем расширениям в браузерах, которые автоматически подставляют totp и пароли.
На счет использования только паролей без 2fa я не согласен, ваш пароль могут скомпроментировать, не взламывая ваше устройство, и большинство учетек происходит по вине пользователя, а не устройства. Сейчас вы скорее зайдете на фишинговый сайт и оставите там свой пароль, чем вас взломают.
Да и Google Authenticator может попасть под ту-же проблему, многие используют сохранение паролей в браузерах, а это значит, что он доступен и с мобильного устройства, если у вас "увели" телефон, то тут точна такая же проблема в безопасности (опуская момент, что вам нужно разблокировать устройство, получить фейсайди, если он есть)
Все это - демагогия на тему безопасности не совсем под тематику этой статьи, она больше про удобство получения totp через терминал и TUI, а не про то, как это безопасно. У каждого разная потребность в уровне безопасности и удобства, так что я не могу согласиться с вашими словами, но ваше мнение вполне обосновано с вашей стороны
Тоже решение на bubbletea, интересно будет посмотреть реализацию папок - а так концепция похожа, кто-то сталкивался с той же болью, что и я)
Спасибо)
Там где-то выше уже происходит по этому поводу дискуссия, можете присоединиться :D
Я считаю должна быть какая-то грань между безопасностью и удобством. Можно зашиться в безопасность, понаставить тройных мультифакторок и на каждый ввод TOTP еще добавлять пароль для подтверждения, что это вы, который будет меняться каждый час, в зависимости от времени суток. Как минимум, если вы по какой-либо случайности слили пароль или кто-то (имеется ввиду сервис) слил ваш пароль, то 2Fa, где бы хранилка не находилась, обеспечит эту безопасность.
А так, что устройство могут скомпрометировать, что файлы слить. Осторожность должна быть, но не уходить же в крайности. Тут уже лично решайте, как вы обеспечиваете себе безопасность, хранить это на разных устройствах или нет.
:D тонко подмечено
Возьму на заметку. Какую книгу читаешь?
обязательно посмотрю
У меня была идея синхронизации с git, как сделано в gopass
Спасибо) не вижу смысла переживать из-за безопасности отечки TOTP в буфер обмена, так как его время жизни очень ограничено. В основном до 30секунд, но бывает окна в пару минут до и после. Плюс, если вы уже использовали TOTP, то обычно один и тот же нельзя использовать дважды. Когда вы копируете с Google Authenticator TOTP, то он так и будет висеть в буфере до момента, пока его не затрут.
В случае потери приватного ключа потеряете возможность расшифровки секретов, поэтому лучше такого не допускать.
Вот на счет автоматической миграции @aamonsterи @adrozhzhov писали, как можно получить ключи из Google Authenticator, что упрощает процесс переноса. Но я пока не ознакамливался, как руки дойдут, то смогу посмотреть и может получится сделать авто-импорт
постараюсь описать в ближайшее время, там по сути все просто для тех, кто знаком с vim
j - вниз
k - вверх
enter - выбрать
esc - отменить или назад
? - помощь (help)
g - наверх
G - вниз
q - выйти
d - если в просмотре ключей, то удалить ключ
/ - если в просмотре ключей, то фильтрация, дальше вводите название
ну почему история не про tmux и vim, если эти инструменты я использую постоянно, то почему бы не сделать в их системе и управлении. У меня много всяких TUI для работы с разными направленями, от теста, до работы с БД, докером
Мне приходится день начинать всегда с TOTP, и это примерно около 6-7 сайтов, плюс бывает приходится из разных браузеров. Нетривиальные задачки, когда под эмуляторами сидишь или в виртуализации и прям оттуда приходится вводить.
Вообще данная туишка появилась, когда мне в одном сервисе требовалось прикрутить 2Fa, что для дебага требуется постоянно добавлять новые секреты и удалять их. Понятно, что не каждый день прикручивается 2Fa, но спустя пол года пользования вижу только плюсы от использования в терминале - так как это основная моя среда пребывания :D
если уже возможно, то это еще лучше, не придется возиться с "пересозданием" 2fa
Спасибо, с Bitwarden не знаком, сам пользуюсь gopass для хранения паролей, там тоже вроде как можно в totp, но нетривиальная задача)
благодарю) с ссылкой тоже ознакомлюсь, согласен, что не все очевидно у них и вызывало определенные сложности
не увидел тут TUI :)
В целом, можно экспорт ключей сделать - не особо сложна задачка, но вот целесообразность ее - тут надо подумать, мне пока приходилось только в нее импортить, но не экспортить :D
Command + tab - go2fa уже открыт, дальше просто накликиваю клавиатурой hjkl и на Enter копирую и обратно Command + tab + Enter.
Тут все происходит без мышки и тачпада, что в моем случае очень удобно, так как не переключается контекст клавиатуры и мыши (тачпада)
У браузерных плагинов есть проблема - они ставятся в браузер, для работы я использую Safari, Chrome, Firefox и Firefox Dev - поэтому тут либо ставить и синхронить на все, а скорее всего под каждый браузер еще разное расширение будет, либо использовать мобилку, либо использовать GUI, что в данном случае звучит более логично.
Ну и опять же, мы делаем и подбираем софт под себя, чтобы было удобно, в моем случае использовании TUI обосновано привязкой к терминалу и вводу VIM, я не задумываюсь, когда использую такое управление и происходит это максимально быстро