Názory k článku
GitHub zavede od příštího týdne povinné 2FA pro aktivní uživatele

Takže ten mor pretláčania authentifikátorov postupuje ďalej (sms som ešte ochotný pretrpieť). Som z toho veľmi smutný.
Som ochotný to akceptovať vo firemnom prostedí kde viem naspísať alebo zavolať administrátorovi, ktorý mi účet reaktivuje.
Ale vo verejne dostupných službách je to fakt peklo. Už som takto prišiel o pár účtov, lebo som si musel zresetovať stav mobilu, tým pádom sa mi odpároval authentifikátor a už som sa do služby nedostal. samozrejme prístup do supportu zas podmieňujú prihlásením a na maily veľmi často neodpovedajú.

To je ale jenom vaše neznalost a lemplovství, že jste přišel o účty.

Snad každá služba přímo vybízí k tomu mít tam záložní přístup, většinou přes jednorázové kódy, možnost nastavit si víc "druhých faktorů" atd.

Pokud to ale lidi ignorují tak si za problémy můžou sami a patří jim to:-)

Ono někdy lemplovství spočívá v tom, že běžně ten přístup nepotřebujete - takže nemáte potřebu kvůli přihlášení dvakrát do roka instalovat aplikaci, nastavovat, řešit záložní metodu. Je to prostě moc velká režie.
A pak ještě přichází komplikace, když přijdete o telefon, na který je posílaná SMS, a zároveň tam máte tu TOTP aplikaci. Že to nemá být? A tedy si musíte pořizovat dvě zařízení, jedno na SMS a druhé na TOTP? To jako vážně?

Jasně že vím o dalších možnostech. Já ano...

Nebo si ty recovery kódy uložit do password manageru...

Když přijdete o telefon, nepřijdete o telefonní číslo.

U předplacené karty ano.
U tarifní vlastně také - dočasně.

Tak s tým rozhodne nesúhlasím, žiadna z predmetných služieb o ktoré som kvôli 2FA prišiel mi ten druhý spôsob "netlačila pod nos". To že je tam nastavenie niekde na 3 odskrolovanie a 4 kliky nepovažujem za dostatočné.
Ak chceme plošne začať používať druhý faktor, treba aby sa autori authentifikátorov zamisleli a dali užívateľovi možnosť si všetky načítané prístupy nejako pravidelne zálohovať.

Som človek čo má rád novinky, rád skúšam nové veci, rád prezentujem produkty ktoré pomôžu k lepšej efektivite. 2FA ako je poňaté dnes je ale z môjho pohľadu jedine na príťaž a len komplikkuje prístup štandardného používateľa a nie že by to chránilo proti hackerských útokom.
Ak budeme nie IT ľuďom dávať takéto prekážky tak sa potom nečudujme, že majú averziu používať novšie technológie, keď aj pre mňa ako programátora je to príťaž a nie pomoc

Ak chceme plošne začať používať druhý faktor, treba aby sa autori authentifikátorov zamisleli a dali užívateľovi možnosť si všetky načítané prístupy nejako pravidelne zálohovať.

Což je dnes něco, co řada authentikátorů umí. Stačí si umět vybrat. V poslední době jsem pracoval s Authenticator Pro, andOTP a OneAuth a všechny zálohování uměly a to dokonce i automatické.

Twilio Authy Desktop 2.2.3 je k dispozícii cez snap. Čo nie je úplne kosher pre distribúcie založené na RPM, ale funguje to.

Ak chceme plošne začať používať druhý faktor, treba aby sa autori authentifikátorov zamisleli a dali užívateľovi možnosť si všetky načítané prístupy nejako pravidelne zálohovať.
To vám jako mají držet pistoli u hlavy a donutit vás, abyste si to zálohování nastavil? Zálohování nebo synchronizace jsou naprosto běžné funkce 2FA autentizačních aplikací. Pokud to nepoužíváte, je problém u vás, ne v těch aplikacích.

zálohovanie/syn­chronizácia nie je (teda nebolo keď som to skúšal naposledy) defaultné správanie ani authentifikátorov od Google či Microsoft, čo sú prvé voľby ak sa o túto problematiku nezaujímate.
Ako prepáčte, ale v dobe keď všetko ostatné sa mi zálohuje v telefóne automaticky, ale v prípade authentifikátorov to nebolo určite defaultné správanie a ani som si nikde na prvú dobrú nevšimol možnosť to nastaviť.
Zatiaľ ale trvám na svojom, že 2FA je veľmi zlá módna výstrelka a že bezpečnosť by sa mala riešiť tak aby to nezaťažovalo užívateľa. Jediné čo to 2FA dosiahne je znechutenie používateľov vôbec služby používať

Stačí si jednou přečíst jak to funguje. Kromě aplikace máte možnost si stáhnout i jednorázové kódy, které jsou přesně k tomuto určené. Spousta služeb, kromě aplikace, nabízí i jiné možnosti ověření, včetně SMS, nastavené najednou. Pak taky můžete použít nějakého password managera a na 2FA zapomenout úplně, protože se o to postará za vás.

Nikde není řečeno, že to musí být telefon... TOTP/HOTP kódy jdou stejně tak generovat na desktopu (keepass to třeba umí sám o sobě) nebo lze použít hardwarový klíč. Mám ve všem zastrčený yubikey, na který při login stačí jen sáhnout a přihlášení trvá zlomek sekundy.

To generovanie v Keepase ďakujem za tip, o tom som nevedel. Ak by to fungovalo aj s tým že sa mi to bude cez cloudové úložisko synchronizovať, tak to bude výborné riešenie môjho primárneho problému

Pokud se vám synchronizuje ta keepass databáze, tak by mělo. Já to teda nezkoušel, ale očekávám, že to funguje tak, že ten seed, podle kterého se ty jednorázová hesla generují, se uloží do té šifrované databáze, takže když se pak databáze kdekoliv odemkne, bude to generovat hesla.

KeePassXC zvlada praci s databazi, ktera je sdilena po siti. Ja mam syncthing a jeste to zadne heslo neztratilo.

Presne tak. K cemu TOTP kdyz mame podstatne konfortnejsi a bezpecnejsi WebAuthn?

Asi by to chcelo lepsi authentifikátor. Ja taky mam a moje TOTP/HOTP secrets (napr. aj GitHub) su zdielane/synchro­nizovane na primarnom/sekun­darnom mobile + desktope. Pouzivam to co je najblizsie zvycajne. Keyword: Authy

To je takový problém mít ty autentizační klíče zazálohované? Hesla máte také uložená jenom v mobilu a když přijdete o mobil, přijdete o všechna hesla?
Navíc u té 2FA autentizace je velice často možnost nebo dokonce nutnost zadat nějaký záložní přístup – vygenerovat si záložní kódy, zadat mobilní číslo pro zaslání SMS (to není moc bezpečné) apod.

10. 3. 2023, 22:03 editováno autorem komentáře

Ten záložný prístup bohužiaľ nie je samozrejmosť, veľa služieb to neprídá a keď dajú 2FA cez appku, ktorá nemá automatické zálohovanie tak veľmi ľahko užívateľ príde o svoje dáta.
Ako prepáčte ale ja fakt nemám chuť ani náladu skúmať či tá alebo ona aplikácia zálohuje automaticky alebo to musím niekde nastaviť. Má to na mňa vybehnúť pri inicializácii alebo fungovať to automaticky.

Když to nechcete zkoumat, použijet Bitwarden Personal Premium. Máte v tom správce hesel, 2FA autentikátor, zálohování a synchronizace přes cloud, aplikace pro desktopy, mobily, příkazový řádek, webové rozhraní.

Máte nějaký konkrétní příklad aplikace co " to neprídá"? Pripadne příklad aplikací/služeb kde jste o přístup přišel kvůli reinstalovanému telefonu?

Proč je pořád diskriminováno zařízení typu desktop (ntb) nutností použít k přihlášení jiné zařízení, přičemž děravější a náchylnější mobilní telefon toto umožní v tom samém zařízení?

OTP můžeš mít na desktop, nepotřebuješ jiné zařízení. Z čeho vycházíš, že desktop je bezpečnější? Naopak se ukazuje, že není, pečlivé sandboxování aplikací, kontrola v app storech, schopnost snadno automaticky aktualizovat dělají z mobilních telefonů daleko bezpečnější zařízení než je desktop.

U desktopu je běžné, že aplikace si mohou navzájem přistupovat do dat a na sebe, což u mobilu jde horko těžko a každá aplikace potřebuje extra oprávnění. Model oprávnění mezi aplikacemi a schopnost povolit jen konkrétní u desktopu nefunguje vesměs vůbec nebo v hodně omezené míře.

Potíž je v tom, že u mobilů (a Windows) uživatel nemá plnou kontrolu nad operačním systémem. Nejhorší je to u Applu.

a kontrola nad OS zvyšuje bezpečnost? Z mé povrchní zkušenosti to je právě naopak, jakmile necháš možnost něco změnit runtime bez testování a přípravy, koleduješ si o bezpečnostní problém.

Samozřejmě mám rád plnou kontrolu, ale nejčastěji pracuji v systemu, kde nemám lautr žádná práva, protože nemusím přemýšlet, kde co zapomenu nebo omylem spustím.

Jakoze apple ti krade kody ke gmailu? Kolik znas malware pro ios a kolik pro android? Mit plnou kontrolu nad os neznamena ze je to bezpecnejsi zarizeni.

Desktop je bezpečnější, protože si ho servisuju sám svým paranoidním způsobem, kdežto mobil neservisuje nikdo. Vím, co běží a co kdo smí dělat, kdo smí komunikovat ven a kdo ne atd.
I chválená Motorola skončila tak, že mi aktualizátor napíše, že prej chyba a nelze aktualizovat. Samsung občas nějakou aktualizaci vydá, ostatní na to kašlou docela.

Tak nepouzivej deravy mobilni OS a nemusis resit zavirovany desktopovy OS.

Vzhledem k tomu, že u Androidu na záplatování kašle většina výrobců, není moc co vybrat.

Už len čakám kedy budem potrebovať 4FA a 3 zariadenia na to aby som si mohol do vyhľadávača vôbec napísať a vyhľadať recept na perníčky... a ešte nebudete potrebovať vzorku DNA k tomu? Ako dávať možnosť 2FA fajn, ale povinne vyžadovať?...

10. 3. 2023, 13:06 editováno autorem komentáře

Souhlas. Vždycky se bezpečnost brala jako rovnováha mezi hodnotou chráněných aktiv, riziky a náklady na zabezpečení.
Tohle plošné 2FA šílenství (pokud za tím není něco dalšího, jako třeba vytahat z velkého procenta lidí (kteří skončí na SMSce) viceméně jednoznačný identifikátor jakým je msisdn, že ano) je asi stejné, jako kdyby mi výrobce dveří vnucoval 5 bezp. třídu s čtečkou otisků na hajzlík a do kůlnu s zahradním nářadím, a námitky na nehody kdy třeba po práci s montážkou bez rukavic se člověk nedostane na WC včas ještě schytal v diskusi jaká je lama, že si nedal náhradní klíče do trezorku na kód.

(jo, nezpochybňuji potřebu lepší ochrany třeba u široce využívané knihovny. Ale plošně?)

10. 3. 2023, 17:10 editováno autorem komentáře

Dvere nejsou sluzba, github, gmail, atd jsou sluzby.

Vemte si to z pohledu poskytovatele sluzeb - treba takovy gmail. Pokud nemate mfa tak uzivatel nekde prijde o heslo (protoze 99% uzivatelu nejsou IT a pouzivaji to same heslo) a pak jako provozovatel resite nastvaneho zakaznika ktery se nemuze dostat ke svemu uctu (nekdo mu ho zmenil) a resite spam odesilany z ukradenych schranek coz ma dopad na vas byznis. Kdyz zavedete mfa tak sice resite par potizistu kterym to nefunguje ale pocet incidentu klesa. Pokud se vam to jako uzivateli nelibi, muzete pouzivat jineho poskytovatele kterekoliv sluzby, ale pak se taky nedivte proc mate problem s dorucovanim emailu atd.

Zatímco když zavedu 2FA buzeraci, tak mám pro změnu mraky uživatelů, kteří přišli o druhej faktor a recovery samozřejmě nemají, a teď co s nimi. Buď je support pošle do háje a pak je oheň na střeše, nebo je do háje nepošle a pak je na střeše ještě větší oheň, když se v lepším případě bílemu klouboukovi takhle podaří obejít 2FA a samozřejmě to zveřejní.
(a nebo si nechají seedy pro TOTP na desktopu, aby na ně nezapoměli)

Z bláta do louže.

Ja bych to nechal na provozovateli sluzeb, jako komercni subjekt si urcite umi spocitat co se jim vyplati. Nelibi se? Muzete pouzit kteroukoliv jinou sluzbu ktera nenabizi mfa.

Gitlab má takovou fajn funkci, že si potřebné věci z githubu na pár kliknutí stáhne sám... Super :) Tahle přiblblá dvoufaktorová šikana nabývá obludných rozměrů.

Prohrávaj. A prohrávaj dost drsně. Tohle M$ (zase) projel. A timhle to jen zhorsuje. Gitlab je uplne jina liga a to je tu vyrazne kratsi dobu. Stejne jako Bitbucket dnes tak na github si nikdo nevzpomene za 2-3 roky.

Nejak to nechapu. Tyka se to i pri pouzivani SSH klicu? Jako ze pri kazdem git push budu muset resit 2FA? To snad ne...

A i pokud se to klicu netyka, bude to neskutecny opruz. Na windowsech s tim porad bojuju. Navic mame nekolik mericich/vyvojovych pocitacu, s jednim sdilenym uctem. Proste kdo potrebuje merit nebo opravit chybu, tak to udela. Ve 3 lidech to je jednodussi nez prepinat mezi windows ucty a spoustet merici software znova, nebo nedejboze prepojovat kabely k jinemu mericimu notebooku. Akorat pro git jsme psali login/heslo, podle toho kdo zrovna udelal opravu, abychom se v tom vyznali. Ale pouzivat na tohle 2FA bude opruz, kdyz v laboratori ani nejedou mobily kvuli stineni a ruseni. Nebo instalovat neco na TOTP, to je proste pro tech par mericich utilit zbytecnost. Kdyz to nekdo hackne, tak mame zalohy na 5 dalsich mistech...

Ne, týká se to jen přihlašování jménem a heslem. Nevím, s čím bojujete – v prohlížeči je přístup zapamatovaný a druhý faktor to vyžaduje jenom při potvrzení důležitých operací, jako třeba změna viditelnosti repository. V ostatních případech se používá SSH klíč nebo autentizační token. Na tom sdíleném počítači přece také můžete použít SSH klíče. A nebo když máte zálohy na 5 dalších místech, pushujte to jinam a teprve odsud to synchronizujte na GitHub.

Dik.
S ssh klici si uplne nerozumi kolegove (ja jsem rad ze jsem je donutil aspon pouzivat git). Windowsi GUI pro git taky nejsou zrovna multiuzivatelske, takze zatim nejjednodussi bylo proste pokazde napsat jmeno/heslo. Stejne tak kolegy nedonutim push nekde a pak push na github. No jestli se ten 2FA rozsiri i na bezne commity, tak se s tim budu muset nejak poprat, ale je to vopruz.

Po push někam jinam už nikdo push na GitHub dělat nemusí, to se může udělat automaticky. Není mi úplně jasné, co je na použití klíčů komplikované, připadá mi to jednodušší, než jméno a heslo.

Kazdy normalny IT-ckar (taky co vie aspon trochu o security a programovani) uz druhy faktor ma, takze za mna to nie je ziadna zmena.

Kazdy normalny IT-ckar ho ma akorat tam, kde to dava smysl.

Což je všude.

To je hloupost.

2FA autentizace dokáže zabránit velkému množství útoků na hesla. Takže má smysl všude. Pokud to chcete porovnávat i s náklady na aktivaci na straně uživatele, ty jsou minimální, takže není důvod nepoužívat 2FA tam, kde to provozovatel podporuje.

Na github nemám.

I kdybych neměl, rozhodně bych to nebral jako nějaké hrozné příkoří. Stejně ten klíč při práci potřebuju mít ve slotu skoro pořád, protože ho používám na jiné 2FA podporující FIDO2 a zároveň na openpgp (což zahrnuje i SSH). Takže jde opravdu jen o ten jeden pohyb rukou navíc při přihlášení k webovému rozhraní - a to navíc není zase až tak často.

Spíš mám pocit, že ty nářky jsou vesměs od lidí, kteří dosud 2FA nepoužívali nikde, a jen proto je to pro ně velká změna.

Co jsem k tomu četl GitHub kuchařku, tak stejně musíte odevzdat telefonní číslo a až pak můžete řešit nějaká FIDO2 aj.

Žádné telefonní číslo jsem jim nedával, povolené mám jen dva FIDO2 klíče (Yubikey 5 NFC a Nitrokey FIDO2), "Authenticator app" (ve skutečnosti obyčejné TOTP, pomocí KeePassXC, jen jako záloha) a "Recovery codes" (kdyby bylo opravdu nejhůř).

Problem je ze git a github nepouzivaji jenom ajtaci. Software dnes vyviji i hromady odborniku ze vsech moznych koutu vedy, vyzkumu a vyvoje.

To je stejný argument jak říkat, že git je celý špatně, protože je daleko jednodušší to verzovat tím, že zdrojáky zabalí do zipu...