phd_ru: (Default)
phd_ru ([personal profile] phd_ru) wrote2023-03-13 03:50 pm
  • Add Memory
  • Share This Entry
Entry tags:

Ты кто? Чем докажешь?

https://github.blog/2023-03-09-raising-the-bar-for-software-security-github-2fa-begins-march-13/

К концу 23-го года Github принудительно переведёт всех на двухfuckторную авторизацию.

X-Post в ЖЖ.
Flat | Top-Level Comments Only
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2023-03-13 01:01 pm (UTC)(link)

Причем двухфакторность там весьма своеобразная "то что вы это вы должен подтвердтить либо ваш сотовый оператор, послав вам SMS, либо какой-то облачный провайдет TOTP".

dmarck: (Default)

[personal profile] dmarck 2023-03-13 01:22 pm (UTC)(link)
и, чо, и типа токены нини?!

они на дубе собственную ветвь пилят?
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2023-03-13 01:29 pm (UTC)(link)

На токен раскошеливаться для десятка хоббиистских опенсурсных проектов это как-то дороговато.

dmarck: (Default)

[personal profile] dmarck 2023-03-13 01:45 pm (UTC)(link)
а для всего остального вообще ничуть не надо

ну, ок
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2023-03-13 01:48 pm (UTC)(link)

А для всего остального надо более другой токен.

Зачем мне для всего остального токен, поддерживающий алгоритмы подписи, отличные от ГОСТ Р 34.10-2012?

Edited 2023-03-13 13:50 (UTC)
phd_ru: (Default)

Ничего своеобразного

[personal profile] phd_ru 2023-03-13 02:01 pm (UTC)(link)
Все TOTP делают. На PyPI я уже потерял из-за этого доступ к проекту, пришлось его переименовать.

Попробую SMS, вдруг сработает. SMS платные, так я буду наказывать GH за принудительный 2FA.
vitus_wagner: My photo 2005 (Default)

Re: Ничего своеобразного

[personal profile] vitus_wagner 2023-03-13 02:16 pm (UTC)(link)

Посмотрел на то какие токены доступны сходу.

  1. Yubikey. Продаются на алэиэкспрессе. Будут везти месяц, но вроде как должны привезти нормально. Стоят от 6 до 12 тысяч рублей
  2. rutoken. Продается в DNS, можно прийти и купить прямо сейчас. Цена около 2000 рублей. Драйвера для opensc у них есть, причем сейчас с сайта раздают pkcs11 драйвера в том числе и для армовских платформ. Что у них там с поддержкой алгоритмов, которые умеет Microsoft GitHub - не в укрсе.
  3. Alladdin JaCarta LT. opensc явно поддерживаются. Стоит в яндекс маркете меньше 2000 рублей. С буржийскими алгоритмами должно быть все ОК
dmarck: (Default)

Re: Ничего своеобразного

[personal profile] dmarck 2023-03-13 02:19 pm (UTC)(link)
все по идее будут, вот только рутокен GOST и рутокен не-GOST в одном железе, сколь мне известно, не существуют
vitus_wagner: My photo 2005 (Default)

Re: Ничего своеобразного

[personal profile] vitus_wagner 2023-03-13 02:22 pm (UTC)(link)

Вот с рутокенами дела не имел со времен работы в криптокоме (то есть лет 12 как). Тогда, кстати, впечатление от них было весьма позитивным.

dmarck: (Default)

Re: Ничего своеобразного

[personal profile] dmarck 2023-03-13 02:33 pm (UTC)(link)
они не-ужасны, да, в своём диапазоне применимости
beldmit: (Default)

Re: Ничего своеобразного

[personal profile] beldmit 2023-03-13 08:03 pm (UTC)(link)
Разве же? Версия 3-летней давности RSA и ГОСТ, кажется, умела одновременно.
phd_ru: (Default)

Re: Ничего не вышло

[personal profile] phd_ru 2023-03-13 06:04 pm (UTC)(link)
В россии SMS не поддерживается.
vazhnov: (Default)

TOTP

[personal profile] vazhnov 2023-03-13 02:42 pm (UTC)(link)

Не вижу ничего плохого в TOTP — это стандарт, полно opensource клиентов (хоть CLI, хоть GUI), работает полностью offline. Нужно только точное время и ключ. Ключ несложно сохранить в момент передачи. Некоторые клиенты, например Aegis, позволяют делать бэкапы ключа.

Иногда только надо найти хитрый путь убедить сервис использовать именно стандартный TOTP, а не их проприетарную реализацию, которая всего лишь как-то по-хитрому передаёт ключ.

vitus_wagner: My photo 2005 (Default)

Re: TOTP

[personal profile] vitus_wagner 2023-03-13 03:03 pm (UTC)(link)

Ну в основном дело в том, что из объяснений на сайте гитхаба неочевидно что TOTP это то , что поддерживатееся кучай офлайновых опенсурсных приложений.

vazhnov: (Default)

Re: TOTP

[personal profile] vazhnov 2023-03-15 09:50 pm (UTC)(link)

О, внезапно тут https://habr.com/ru/post/721870/ разбираются, где "чистый" TOTP, а где нет.

vitus_wagner: My photo 2005 (Default)

Re: TOTP

[personal profile] vitus_wagner 2023-03-16 08:23 am (UTC)(link)

Интересная статья. Где-нибудь там есть петиция яндексу, где можно подписаться?

vazhnov: (Default)

[personal profile] vazhnov 2023-05-17 05:18 pm (UTC)(link)

Вот ещё свежее на Hackaday:

Microsoft Authenticator sends personally identifiable data about you back to Microsoft even before you’ve accepted the terms and conditions, and does so afterwards when you use it. Authy may be even worse, transmitting which websites you’re logging into.

phd_ru: (Default)

[personal profile] phd_ru 2023-05-17 06:31 pm (UTC)(link)
От этих ничего другого и не ожидаем.
Flat | Top-Level Comments Only