Hon na carodejnice :D, dvoufaktor vubec nic neresi. Je to jak policiste s oblibou rikaji, vysoka rychlost zabiji - totalni nesmysl. Naopak zabiji nizka rychlost, protoze pomalu jedouci blondyna vyprovokuje stoprocentne celou kolonu za ni a pak ji kazdy i riskantne predjizdi. Tim ohrozuje nejen sebe, ale i tu blondynu a potazmo i ostatni.
Proste git prestanu pouzivat, zadny vir si do mobilu davat nehodlam a pokud nepredstavi jiny pohodlny zpusob prihlaseni, tak to udela urcite vice lidi.
5. 5. 2022, 09:32 editováno autorem komentáře
Není třeba si instalovat tu jejich aplikaci, můžete použít třeba FreeOTP, což je svobodná otevřená a velmi jednoduchá aplikace, která jen počítá jednorázové kódy a ukazuje je na displeji.
Já osobně mám raději USB tokeny, které chrání i proti phishingu, uživatele není možné zmanipulovat, aby kód opsal do cizího webu.
Sám se spíš divím, že tohle není na tak důležité platformě jako GitHub zavedeno už dávno. Není to nijak nepohodlné, protože to stačí u nového zařízení udělat jednou a pak už není potřeba to opakovat. Mám zapnutý dvoufaktor všude, kde je to možné a vlastně o tom vůbec nevím, protože mě to nijak neobtěžuje.
Nejsem si jistý, jestli speciálně u githubu platí, že by dvoufaktor "vůbec nijak neobtěžoval". Ještě ho nemám zapnutý, ale už mi zakázali používat ssh klíče, takže teď musím zadávat nějaké jejich heslo nebo co to je.
Dokud jsem si nenastavil jakousi keš v paměti, tak mě každé jednotlivé použití příkazu 'git' žádalo o zadání hesla - a to tedy začně obtěžovat okamžitě. S tou keší v paměti to heslo musím zadat po každém restartu PC a pak po době, kdy vyprší ona keš. Tzn. že jediná neobtěžující možnost je nastavit délku doby vypršení té keše na několik let (jestli to jde) a nikdy nerestartovat PC. Je tohle nějaký (po)krok k lepší bezpečnosti?
On to není zákaz SSH klíčů ale zpřísnili politiku:
https://docs.github.com/en/authentication/connecting-to-github-with-ssh/checking-for-existing-ssh-keys
Note: GitHub improved security by dropping older, insecure key types on March 15, 2022.
As of that date, DSA keys (ssh-dss) are no longer supported. You cannot add new DSA keys to your personal account on GitHub.com.
RSA keys (ssh-rsa) with a valid_after before November 2, 2021 may continue to use any signature algorithm. RSA keys generated after that date must use a SHA-2 signature algorithm. Some older clients may need to be upgraded in order to use SHA-2 signatures.
A třeba Netbeans používají starý JGit, takže z nich nejde pushovat.
A nebyly to klíče vygenerované nějakým zastaralým algoritmem? Nezkoušel jsi vygenerovat nové?
Nedávno jsem přecházel na nový NB a tam si vygeneroval nové ssh klíče a přidání na GH bylo naprosto bez problémů. Stejně tak mám skript, co automaticky pushuje na GH a taky tam stačí jen ssh klíč. Nevím, jak bych to udělal, kdyby vyžadovali heslo.
@Radiusxe
No vidíte, já mám třeba starší smarphone a už prostě nemám místo, protože kdejaká korporace šikanuje uživatele mít jejich aplikaci - a to ještě musím mít několik, abych unikl jejich šikaně a šmírování - jako Telegram ...
Nový phone si kupovat nechci, a Gréta by mne jistě pochválila, ale s takovou ... tady s těmi 2FA aplikacemi se rozthl pytel a mohu jenom doufat, že to po mě nakonec nebude chtít i kdejaká prodejna bot ...
Nedávno jsem někomu vykládal, jak mi kdysi v TS Bohemia nechtěli prodat 5m TCP kabelu bez zadání adresy a tel. čísla ... tak jsem jim to hodil na hlavu. Tady už je to větší páka. Zdravím do M$ ....
5. 5. 2022, 10:04 editováno autorem komentáře
Na standardní TOTP není potřeba mít spoustu aplikací, zmíněný FreeOTP má půl megabajtu a dá se použít na desítkách služeb. Pokud přes to vlak nejede, pak bude potřeba se poohlédnout po jiném úložišti gitovských repozitářů.
je mozno si totp pocitat i na desktopu https://github.com/yitsushi/totp-cli . na mobilu pouzivam https://getaegis.app/
Existuje i browser extension: https://authenticator.cc/ podporující např. export a import dat.
tvrdá čísla napadených účtů ale mluví jinak, druhý faktor při přihlašování je účinný a řeší hodně, máš na výběr spousty technologií vč. těch, keré tě fakticky neobtěžují.
Tohle se netýká gitu samotného a github není git, git si klidně používej dál, však tam se také používá gpg, to považuješ také za hon na čarodějnice?
Zaujímavé... pretože ja som nikdy 2FA nepoužil, všade mám len heslo (jediná výnimka je asi banka, ktorá to povinne vyžaduje snaď 5 faktorovú autentifikáciu, čo je absurdné kedy pritom zabezpečenie sami majú na h... pretože heslo ti vytlačia na papier a nahlas ho diktuješ pri ich okienku, či všetky údaje potrebné ku platbe sú priamo na karte napísané, ale hlavne že ľudí otravujú s prepisovaním 5 čísel z čtečiek a SMS a neviem čoho.
Pritom ako hovorím všade inde používam len a len heslá (1FA), a hádajte čo, nikdy som nemal napadnutý účet... a to som dokonca moje heslo napísal do verejného chatu s 8 tisíc ľuďmi (z ktorého to nešlo v tom čase odstrániť) a ešte dnes to heslo používam, aj keď sa to stalo asi pred 7 rokmi, prekvapivo môj účet nie je zaznamenaný že by bol problém ani v haveibeenpwned ...
Navyše som dlhodobo používal všade rovnaké heslo a nikdy nebol problém.
Btw. mnoho účtov sú tzv. "trash" účty používané len na pár rázové úkony a reálne je jedno či k tomu účtu má niekto iný prístup.
Btw2. áno, ani teraz nemám to zabezpečenie perfektné, ale aj tak som nemal žiadny problém... Aj keď plánujem v blízkej dobe (mesiac až dva) si vytvoriť úplne nové učty všade a staré zahodiť... To už plánujem mať úplne všade unikátne heslo a password manager.
Btw3. väčší problém mi robí spam v mailoch od služieb, ktoré už dávno nepoužívam a nie je možné sa odhlásiť z odberu bez prihlásenia, hlavne keď už účet neexistuje.
5. 5. 2022, 16:48 editováno autorem komentáře
a jak víš, že ten problém nikde nebyl? Víš, že haveibeenpwned ukazuje pouze úniky od daných firem bez ohledu na sílu hesla nebo zabezpečení tvého účtu?
Dříve člověk napadení poznal, útočník tam hodil velký nápis "I hacked you", dneska tyhle napadení jsou tiché a spící, kolikrát si toho měsíce, roky nevšimneš. Přečti si pár článků tady na rootu https://www.root.cz/serialy/postrehy-z-bezpecnosti/, zjistíš že řada útoků probíhala měsíce před jejich odhalením, to se bavíme o firmách, které aspoň to občas kontrolují.
Ona ani skutečnost, že jsi problém neměl není důkazem, že na bezpečnost můžeš dlabat. Většina znáš nikdy neměla nehodu v autě, nikdy je nesrazil někdo na přechodu se semaforem a přitom se stejně poutáme (ano, je to povinné), rozhlížíme a dáváme pozor. S ukradenými účty to je stejné, riziko existuje, ale nikdy neznamená, že porušením měkkých pravidel dostanu hned zásah.
Krmim trola, ale musim to rict. Nojono.
"zabiji nizka rychlost" - to je priserna hloupost.
"pomalu jedouci blondyna vyprovokuje stoprocentne celou kolonu za ni" - na silnici ma kazdy povinnost jet podle svych chopnosti (krome dalnice).
"pak ji kazdy i riskantne predjizdi" - nikdo nikoho nenuti riskantne predjizdet.