Vlákno názorů k článku
GitHub zavede od příštího týdne povinné 2FA pro aktivní uživatele od oss - Kazdy normalny IT-ckar (taky co vie aspon trochu...

Kazdy normalny IT-ckar (taky co vie aspon trochu o security a programovani) uz druhy faktor ma, takze za mna to nie je ziadna zmena.

Kazdy normalny IT-ckar ho ma akorat tam, kde to dava smysl.

Což je všude.

To je hloupost.

2FA autentizace dokáže zabránit velkému množství útoků na hesla. Takže má smysl všude. Pokud to chcete porovnávat i s náklady na aktivaci na straně uživatele, ty jsou minimální, takže není důvod nepoužívat 2FA tam, kde to provozovatel podporuje.

Na github nemám.

I kdybych neměl, rozhodně bych to nebral jako nějaké hrozné příkoří. Stejně ten klíč při práci potřebuju mít ve slotu skoro pořád, protože ho používám na jiné 2FA podporující FIDO2 a zároveň na openpgp (což zahrnuje i SSH). Takže jde opravdu jen o ten jeden pohyb rukou navíc při přihlášení k webovému rozhraní - a to navíc není zase až tak často.

Spíš mám pocit, že ty nářky jsou vesměs od lidí, kteří dosud 2FA nepoužívali nikde, a jen proto je to pro ně velká změna.

Co jsem k tomu četl GitHub kuchařku, tak stejně musíte odevzdat telefonní číslo a až pak můžete řešit nějaká FIDO2 aj.

Žádné telefonní číslo jsem jim nedával, povolené mám jen dva FIDO2 klíče (Yubikey 5 NFC a Nitrokey FIDO2), "Authenticator app" (ve skutečnosti obyčejné TOTP, pomocí KeePassXC, jen jako záloha) a "Recovery codes" (kdyby bylo opravdu nejhůř).

Problem je ze git a github nepouzivaji jenom ajtaci. Software dnes vyviji i hromady odborniku ze vsech moznych koutu vedy, vyzkumu a vyvoje.

To je stejný argument jak říkat, že git je celý špatně, protože je daleko jednodušší to verzovat tím, že zdrojáky zabalí do zipu...