Ты кто? Чем докажешь?

Mar. 13th, 2023 03:50 pm
phd_ru: (Default)
[personal profile] phd_ru
https://github.blog/2023-03-09-raising-the-bar-for-software-security-github-2fa-begins-march-13/

К концу 23-го года Github принудительно переведёт всех на двухfuckторную авторизацию.

X-Post в ЖЖ.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2023-03-13 01:01 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Причем двухфакторность там весьма своеобразная "то что вы это вы должен подтвердтить либо ваш сотовый оператор, послав вам SMS, либо какой-то облачный провайдет TOTP".

Date: 2023-03-13 01:22 pm (UTC)
dmarck: (Default)
From: [personal profile] dmarck
и, чо, и типа токены нини?!

они на дубе собственную ветвь пилят?

Date: 2023-03-13 01:29 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

На токен раскошеливаться для десятка хоббиистских опенсурсных проектов это как-то дороговато.

Date: 2023-03-13 01:45 pm (UTC)
dmarck: (Default)
From: [personal profile] dmarck
а для всего остального вообще ничуть не надо

ну, ок

Date: 2023-03-13 01:48 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

А для всего остального надо более другой токен.

Зачем мне для всего остального токен, поддерживающий алгоритмы подписи, отличные от ГОСТ Р 34.10-2012?

Edited Date: 2023-03-13 01:50 pm (UTC)

Ничего своеобразного

Date: 2023-03-13 02:01 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
Все TOTP делают. На PyPI я уже потерял из-за этого доступ к проекту, пришлось его переименовать.

Попробую SMS, вдруг сработает. SMS платные, так я буду наказывать GH за принудительный 2FA.

Re: Ничего своеобразного

Date: 2023-03-13 02:16 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Посмотрел на то какие токены доступны сходу.

  1. Yubikey. Продаются на алэиэкспрессе. Будут везти месяц, но вроде как должны привезти нормально. Стоят от 6 до 12 тысяч рублей
  2. rutoken. Продается в DNS, можно прийти и купить прямо сейчас. Цена около 2000 рублей. Драйвера для opensc у них есть, причем сейчас с сайта раздают pkcs11 драйвера в том числе и для армовских платформ. Что у них там с поддержкой алгоритмов, которые умеет Microsoft GitHub - не в укрсе.
  3. Alladdin JaCarta LT. opensc явно поддерживаются. Стоит в яндекс маркете меньше 2000 рублей. С буржийскими алгоритмами должно быть все ОК

Re: Ничего своеобразного

Date: 2023-03-13 02:19 pm (UTC)
dmarck: (Default)
From: [personal profile] dmarck
все по идее будут, вот только рутокен GOST и рутокен не-GOST в одном железе, сколь мне известно, не существуют

Re: Ничего своеобразного

Date: 2023-03-13 02:22 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Вот с рутокенами дела не имел со времен работы в криптокоме (то есть лет 12 как). Тогда, кстати, впечатление от них было весьма позитивным.

Re: Ничего своеобразного

Date: 2023-03-13 02:33 pm (UTC)
dmarck: (Default)
From: [personal profile] dmarck
они не-ужасны, да, в своём диапазоне применимости

Re: Ничего своеобразного

Date: 2023-03-13 08:03 pm (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Разве же? Версия 3-летней давности RSA и ГОСТ, кажется, умела одновременно.

TOTP

Date: 2023-03-13 02:42 pm (UTC)
vazhnov: (Default)
From: [personal profile] vazhnov

Не вижу ничего плохого в TOTP — это стандарт, полно opensource клиентов (хоть CLI, хоть GUI), работает полностью offline. Нужно только точное время и ключ. Ключ несложно сохранить в момент передачи. Некоторые клиенты, например Aegis, позволяют делать бэкапы ключа.

Иногда только надо найти хитрый путь убедить сервис использовать именно стандартный TOTP, а не их проприетарную реализацию, которая всего лишь как-то по-хитрому передаёт ключ.

Re: TOTP

Date: 2023-03-13 03:03 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Ну в основном дело в том, что из объяснений на сайте гитхаба неочевидно что TOTP это то , что поддерживатееся кучай офлайновых опенсурсных приложений.

Re: TOTP

Date: 2023-03-15 09:50 pm (UTC)
vazhnov: (Default)
From: [personal profile] vazhnov

О, внезапно тут https://habr.com/ru/post/721870/ разбираются, где "чистый" TOTP, а где нет.

Re: TOTP

Date: 2023-03-16 08:23 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner

Интересная статья. Где-нибудь там есть петиция яндексу, где можно подписаться?

Date: 2023-05-17 05:18 pm (UTC)
vazhnov: (Default)
From: [personal profile] vazhnov

Вот ещё свежее на Hackaday:

Microsoft Authenticator sends personally identifiable data about you back to Microsoft even before you’ve accepted the terms and conditions, and does so afterwards when you use it. Authy may be even worse, transmitting which websites you’re logging into.

Date: 2023-05-17 06:31 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
От этих ничего другого и не ожидаем.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

phd_ru: (Default)
phd_ru
Персональные странички

May 2025

S M T W T F S
     123
4 5 678910
1112 13141516 17
18192021222324
25262728293031

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated May. 20th, 2025 10:53 pm
Powered by Dreamwidth Studios
OSZAR »