Vlákno názorů k článku
GitHub zavede od příštího týdne povinné 2FA pro aktivní uživatele od shagy2301 - Takže ten mor pretláčania authentifikátorov postupuje ďalej (sms...

I u předplacené karty máte přístup do administrace nebo další možnosti, jak prokázat, že jste vlastníkem čísla. Myslím, že u 2FA autentizace na GitHub vám ta dočasná ztráta možnosti autentizace na novém zařízení bude vadit méně, než dočasná nedostupnost telefonního čísla. A pořád máte možnost uložit si ty náhradní přístupové kódy, synchronizovat si klíče do více zařízení, použít bezpečnostní klíč (token) nebo aplikaci GitHub Mobile).

Mně na tom celém překvapuje nejvíc to, kolik lidí, kteří se zřejmě považují za IT odborníky, se tu jen tak mimochodem přiznává, že GitHub používají bez 2FA.

Máte samozřejmě pravdu, ale tady šlo o to, zda o to telefonní číslo přijdete.
U GitHubu to je nejspíš dobře řešitelné, ale možná byste se divil, kolik lidí si zkomplikuje přistup do banky tím, že má přihlašovací aplikaci (klíč) na mobilu s ověřeným číslem. Pak i blokování karty (ukradená kabelka s doklady a telefonem) začíná dialogem: zavolejte z ověřeného čísla nebo potvrďte identitu v mobilním klíči.

Ano, ale o telefonní číslo nepřijdete, jenom ho omezenou dobu nebudete mít dostupné. Pro blokaci karty stačí znát její číslo nebo jiného údaje není potřeba volat z ověřeného telefonního čísla.

Většina lidí blokuje kartu v chvíli, kdy je ukradená - a to číslo prostě nezná. ;o)
(Banka pak potřebuje ověřit klienta, aby se podívali, jaké má karty. Běžně stačí volat z registrovaného čísla a znát nějaké údaje, jako rodné číslo a datum narození. Pokud to volající nezná a to číslo momentálně nemá... To bych taky mohl volat, že jsem FIlip Jirsák, ukradli mi karty, telefon a doklady a potřebuju to hned zablokovat, aby mi nevybílili konto - prosím, u které banky máte účet? ;oD )

Nechtěl byste k tomu rodnému číslu a datu narození přidat třeba ještě věk? Já bych nechal na bance, jak si ověří, že volá někdo, kdo má právo kartu zablokovat. Každopádně co jsem k tomu hledal na internetu, nic o nějakém registrovaném teleofním čísle nikde napsáno nebylo.

Řekněme praktická zkušenost. Když to vezmu abecedně:

• ČSOB poznává klienta podle telefonního čísla a chce k tomu další údaj (nebo potvrzené klíčem nebo zavolají na to registrované číslo...), pokud voláte z cizího, nastupují různé pomocné scénáře;
• KB nevadí, když voláte z jiného čísla, ale potřebujete vědět další údaje, jako rodné číslo, adresu a číslo některé z karet, při volání z registrovaného slevili z požadavku na číslo karty.

Se Spořitelnou jsem se bavil ještě v dobách SMSek, takže teď to bude jinak, s ostatními tuhle zkušenost nemám. Všechny tři uvedené banky nabízely extra přihlašovací aplikaci, minimálně Komerčka ji má funkční i na tabletu a tedy nemusí být v mobilním telefonu - takže dobré záložní řešení. Nevím, nakolik ty banky dovolují mít dva klíče, na různých zařízeních. Ale to jsme trochu odběhli od toho GitHubu...

Já se za odborníka nepovažuju, ale je 2FA s použitím nějaké sms služby typu https://www.receivesms.co/receive-sms-from-anonymous/, protože mnozí se s darováním informace o svém telefonním číslu Googlu/M$ nebudou obtěžovat, či rovnou děravého systému pro šmírování mobilních telefonů (čti Android), lepší, než nejlepší dlouhé heslo přes SSL, které mohu znát a mít jen já? A není 3FA lepší než 2FA? Kolik FA je dost a jak se o počítá?

Google Authenticator je už spoustu let zastaralá aplikace, nedává smysl jí používat. Microsoft Authenticator zálohování do cloudu umožňuje (nevím, zda je to default). Ale hlavně ukládání klíčů pro 2FA a zálohování/syn­chornizaci přes cloud umožňuje každý rozumný správce hesel.
Bezpečnost, která méně zatěžuje uživatele, bude Passkeys. Akorát se musí počkat, než to bdue dostatečně rozšířené. Každopádně teď, pokud chce uživatel zjednodušit přihlašování a zároveň zvýšit bezpečnost, začne používat správce hesel. A jak jsem psal, každý rozumný správce hesel dnes podporuje 2FA.

Proč by nedávalo smysl používat Authenticator od výrobce OS telefonu? Mimochodem automaticky zálohuje do Google účtu by default, takže po factory resetu telefonu si stáhne účty. Udělal jsem si "export" vyfocením obrázku vygenerovaného QR kódu, ale ukázalo se to jako zbytečné. Účty se objevily, než jsem stihl zjistit, co s tím QR kódem.

13. 3. 2023, 02:23 editováno autorem komentáře

Protože má divné UX; není moc jasné, zda se vyvíjí (teď je tam verze z roku 2022, dříve tam bývala myslím několik let neaktualizovnaá verze); v popisu nemá nic o zálohování; i pokud vám obnovení fungovalo po resetu telefonu, není jasné, zda se data přenesou na jiné zařízení; neumí synchronizaci mezi více zařízeními; nepodporuje standardní export – je tam jakýsi převod pomocí QR kódu, ale u toho vůbec není jasné, jak to funguje a zda by to bylo použitelné s jinou aplikací.

Když něco funguje, je třeba to furt předělávat? Co znamená divné UX? Třeba někomu přijde divné to ve vaší oblíbené aplikaci. A dá se předpokládat, že se záloha přenese i na jiný telefon - pokud rozumíte tomu, co dělá factory reset.

Když tam chybí základní funkce, jako záloha nebo export, jsou tam věci na dodělávání. Mění se API samotné platformy Android, vývojáři občas musí vydávat nové verze aplikací jenom proto, aby s tím drželi krok. Pokud Google nemá potřebu měnit funkce aplikace, hodila by se alespoň zmínka, že aplikace je aktivně udržovaná. Zejména když ta aplikace má oficiální repository Googlu na GitHubu, které je archivované a neaktualizované. Zkrátka ta aplikace nevzbuzuje moc důvěry, že je aktivně udržovaná – což mi u aplikace pro správu 2FA klíčů připadá jako poměrně zásadní problém.

Divné UX – myslím, že nešlo položky přejmenovat, nebo změnit jejich pořadí, nebo něco takového.

Zařízení má uložené nějaké šifrovací klíče, které pokud vím factory reset nezruší. Pokud jsou klíče TOTP uložené v datech šifrované klíčem zařízení, tak vám záloha na jiném telefonu k ničemu nebude, protože ji nedešifrujete.

Pokud tam něco nejde, možná jste jen nepřišel, jak na to. Zálohu to dělá do cloudu, takže export/import není tak potřeba. Beztak bude asi formát dat mezi takovými aplikacemi nekompatibilní. API Androidu se mění, ale tohle je od stejné firmy, takže si to interně hlídá. Ten GitHub může být export, nemusí to být primární repozitář.

Pokud tam něco nejde, možná jste jen nepřišel, jak na to.
Takže to má špatné UX.

Zálohu to dělá do cloudu, takže export/import není tak potřeba.
Na Google Play u té palikace nikde není napsáno, že dělá zálohu do cloudu – a dříve to nedělala. A záloha, u které nevím, zda se dělá, a zda a jak půjde obnovit, je dost k ničemu.

Beztak bude asi formát dat mezi takovými aplikacemi nekompatibilní.
Pro inicializaci autentizačních aplikací klíčem se používá formát Key Uri Format obvykle zakódovaný jako QR kód: https://github.com/google/google-authenticator/wiki/Key-Uri-Format Pro přenos do jiné aplikace je ideální právě tenhle formát.

API Androidu se mění, ale tohle je od stejné firmy, takže si to interně hlídá.
Pohlídá si to jedině tehdy, pokud je ta aplikace aktivně udržovaná. Na což moc nevypadá.

Ten GitHub může být export, nemusí to být primární repozitář.
Ano, není to primární repozitář, je tam napsáno, že tam nemusí být změny z upstreamu. Ale pokud má ta aplikace vypadat aktivně spravovaná, očekávla bych tam nějakou větu ve smyslu „aplikaci dál vyvíjíme interně, toto repository neaktualizujeme, proto jsme ho archivovali.“.

> Takže to má špatné UX.

Existuje ještě druhá možnost ;-)

> Na Google Play u té palikace nikde není napsáno, že dělá zálohu do cloudu

To jako tam má být vypsán každý prd? Stejně to uživatelé nečtou.

> Pro inicializaci autentizačních aplikací klíčem se používá formát Key Uri Format obvykle zakódovaný jako QR kód

Však tento QR kód jsem psal, že jsem z té aplikace dostal, když jsem nevěděl, jestli to zálohuje do cloudu.

> pokud je ta aplikace aktivně udržovaná. Na což moc nevypadá

Však jsem psal, že nemusí jít o primární repositář. Odpověděl jste si pak sám.

Existuje ještě druhá možnost ;-)
Jasně. Přejmenování položky je tak složitá operace, že jsem ji prostě nedokázal udělat. Zajímavé je, že vjiných aplikacích stejného typu to zvládnu.

To jako tam má být vypsán každý prd? Stejně to uživatelé nečtou.
Vždyť je to jedna z nejdůležitějších vlastností takové aplikace. Nejdůležitější je, že to umí generovat TOTP kódy, druhý v pořadí je import z QR kódu a třetí v pořadí je zálohování a export. Hlavně že je tam napsáno, že to má tmavé téma.

Však tento QR kód jsem psal, že jsem z té aplikace dostal, když jsem nevěděl, jestli to zálohuje do cloudu.
Ne, vy jste psal, že jste získal nějaký QR kód – nevíme, zda je v tomhle formátu, nebo je to něco proprietárního. A 40 ověřovacích kódů přece nebudu přenášet po jendom přes QR kódy.

Však jsem psal, že nemusí jít o primární repositář. Odpověděl jste si pak sám.
Nejde jen o to repository. Veškeré informace o té aplikaci na webu (Google Play, GitHub, Wikipedia) vzbuzují pochybnosti o tom, jestli je ta aplikace udržovaná. Jsem přesvědčený o tom, že když jsem se na tu aplikaci díval dříve, byla tam několik let stará verze.

Jako ze ta aplikace predava muj TOTP secret nekam googlu??? Sice tu jejich appku nepouzivam, ale aspon vim co bych uzivatelm striktne nedoporucil.