Недавно столкнулся с лицемерием GitHub, который якобы под предлогом беспокойства о безопасности обычных пользователей начал вводить обязательную двухфакторную аутентификацию. Сперва выборочно только для самых активных, а в последствии и для всех остальных без исключения.


Надуманность данного повода доказывается тем фактом, что в качестве двухфакторной аутентификации можно использовать либо специально приложение, либо SMS, либо аппаратный ключ безопасности. Причем это без каких либо альтернатив, т.к. сайт просто не дает работать далее без включения двухфакторной аутентификации.


Enable 2FA now. You'll be able to continue on with your work right after.

Но как обычно, дьявол в деталях. Ведь чтобы добавить аппаратный ключ нужно, чтобы двухфакторная аутентификация была УЖЕ активирована.


Другими словами, чтобы использовать аппаратный ключ, нужно предварительно включить двухфакторную аутентификацию с использование SMS (читай номера телефона), либо программы, которая привязана к сетевой учетной записи Googgle, Microsoft или другого сервиса и опять же с привязкой к номеру телефона.


И в данном случае фокус с отправкой SMS на левый номер какого нибудь сервиса для временных телефонных номер вряд ли будет хорошей идеей.


Тем не менее, для тех, что не хочет в очередной раз становиться товаром и привязывать свой номер телефона к очередному интернет сервису "для вашей же безопасности", все же существует способ обойти требование обязательной двухфакторной аутентификации перед добавлением аппаратного ключа.


Подготовка к активации аппаратного ключа на GitHub


  • Берем (покупаем) аппаратный ключ с поддержкой 2FA. Себе я купил Yubico Nano, но это не единственный вариант с поддержкой данной технологии.
  • Устанавливаем драйвера и приложения необходимые для работы аппаратного ключа
  • Ставим в браузер плагин Authenticator который и будет работать с аппаратным токеном вместо привязанного к сетевой учетной записи постороннего приложения.

Включаем двухфакторную аутентификацию на GitHub "без СМС"


  • Соглашаемся на активацию 2FA в учетной записи


  • Используем плагин браузера в качестве TOTP (time-based one-time password) приложения для двухфакторной аутентификации. Для этого нужно открыть данный плагин, в окне которого будет показывать код подтверждения, который нужно ввести на странице сайта.
    Обратите внимание, что данный код имеет ограниченный срок действия, о чем сообщает постепенно уменьшающийся индикатор оставшегося времени в нижнем правом углу окна с кодом подтверждения (но ничего страшного не произойдет, если вы не успеете ввести код, просто автоматически будет создан новый код подтверждения).


  • Потом создается ключ на аппаратном токене (вас попросят ввести название ключа для учетной записи и прикоснуться к токену в качестве подтверждения вашего физического присутствия за компьютером). Если все сделано правильно, то у вас в учетной записи будет вот так:


  • После этого при входе на GitHub.com можно будет авторизоваться с помощью аппаратного ключа. Для этого после ввода пароля, плагин браузера будет предлагать прикоснуться к ключу безопасности для генерации кода подтверждения, необходимого для авторизации на сайте



Комментарии (111)


  1. Zeusina
    09.12.2023 12:15

    Существуют же open source TOTP приложения, которые не привязаны к облачным сервисам.


    1. rsashka
      09.12.2023 12:15

      Ну да. И плагин для браузера это одно из них.


    1. Kenya-West
      09.12.2023 12:15

      KeePass + TOTP-плагин


      1. onyxmaster
        09.12.2023 12:15

        Я бы не стал хранить ключ TOTP внутри того же устройства, где осуществляется аутентификация. Нарушается изоляция факторов.


        1. xenon
          09.12.2023 12:15

          Это вполне может быть плюсом. В безопасности, любой плюс (с одной стороны) оказывается минусом (с другой). Какие сторона важнее - виднее только пользователю. Если 2FA навязывается - самый безопасный способ - свести ее к ~1FA.


      1. Maxim_Q
        09.12.2023 12:15

        KeePass + TOTP-плагин

        В последних версиях KeePass уже есть встроенная поддержка TOTP ключей, плагин не нужен.


    1. Evengard
      09.12.2023 12:15

      Aegis на Андроиде неплохое такое.



  1. lgorSL
    09.12.2023 12:15

    А разве сам по себе TOTP не достаточен для 2FA? Не является ли аппаратный ключ избыточным? TOTP генерирую (и храню) с помощью KeePassXC.

    Надеюсь, что вход по ssh они не отключат. Сейчас, если не залогиниться (допустим, лень проходить 2fa), то в браузере по кнопке clone показывают только опции с https и github cli, хотя по ssh всё ещё можно подключаться.

    P.S. github (и майкрософт) редиски. Вместо того, чтобы просто работать, приходится тратить время на всякую фигню.


    1. onyxmaster
      09.12.2023 12:15

      Вопрос в том, где хранится закрытый ключ от TOTP-последовательности.


      1. Aelliari
        09.12.2023 12:15

        Там нет закрытого ключа, там «общий секрет», одна копия хранится на сервере, остальные копии - хранятся всеми приложениями для генерации кода в которые ты его добавил, способами которые определяются приложениями. Есть не мало приложений которые хранят их только локально и никуда их не передают


        1. onyxmaster
          09.12.2023 12:15

          Тем не менее это закрытый ключ, поскольку он не является общедоступным.

          Ну и да, я в курсе как работает TOTP. Я хотел в основном указать на небезопасность, допустим, хранения ключа в расширении браузера, в котором осуществляется аутентификация.


        1. Shaman_RSHU
          09.12.2023 12:15

          Тот же andOTP для Android решает проблему


      1. lgorSL
        09.12.2023 12:15

        Ещё вопрос в том, хочу ли я в принципе использовать 2FA.

        Если человек ей пользуется только потому, что гитхаб его заставил, то хранить ТОТР хоть в браузере - вполне себе "обход" навязанных проблем.

        И при этом даже "правильный" ТОТР на втором устройстве не сделает радикально безопаснее.
        Я всё ещё могу склонировать любой свой репозиторий по ssh и сделать force push с чем угодно (один фактор - мой приватный ssh ключ). Я могу потерять "секретный ключ" для генерации ТОТР, а потом зайти на гитхаб, нажать кнопку "забыл пароль" и войти просто с помощью почты (один фактор - доступ к почте)


  1. onyxmaster
    09.12.2023 12:15

    Yubikey может быть и OATH/TOTP-провайдером.


  1. SergeyMax
    09.12.2023 12:15

    можно использовать либо

    либо ,

    либо .

    Причем это без каких либо альтернатив


  1. DagothNik
    09.12.2023 12:15

    Я тут недавно с поддержкой ВК сражался. На одной из старых учётных записей решил включить двухфакторку. При включении поступает звонок на номер, к которому давно доступа нет. Отвязываю номер. Теперь двухфакторку не включить.

    Пишу в поддержку, отвечают, что номер телефона безопаснее, чем второй фактор генерируемый приложением. Почему? Ответить не смогли.

    Занавес.

    Нет, я понимаю, что их закон обязывает собирать у всех номера телефонов, но говорить об этом поддержка не хочет, по какой-то причине. "Номер телефона безопаснее".


    1. ifap
      09.12.2023 12:15

      Так они вымогали телефоны задолго до того, как этого стал требовать закон. Ради все той же безопасности, ага.


      1. DagothNik
        09.12.2023 12:15

        Ну значит методичку "забыли" поменять. Я помню, что с какого-то времени стали номер требовать, но тогда не было двухфакторной аутентификации, если правильно помню и их сказки ещё хоть как-то были похожи на правду. Но сейчас это звучит смешно.


        1. ifap
          09.12.2023 12:15

          Вообще никак не похожи: "забыли" номер? Не беда, просто укажите новый и получите доступ к учетке!


          1. DagothNik
            09.12.2023 12:15

            А, ну да, кстати. Не подумал об этом, у них до сих пор так. Старый номер отвязал, новый можешь привязать. Б - безопасность.


            1. ifap
              09.12.2023 12:15

              В том-то и дело, что старый отвязывать не требуется, достаточно заявить, что доступ к нему утрачен и указать новый.


              1. DagothNik
                09.12.2023 12:15

                Да, я в курсе. Просто отвязкой назвал "номер мне больше не принадлежит", или как там у них.


          1. xenon
            09.12.2023 12:15

            Определенный теоретический-гипотетический смысл в этом есть. Каждый +7 номер ведь привязан к человеку (а злоупотреблений в этой сфере нет). Соответственно, если взломщик представляется кем-то и взламывает, привязав свой номер телефона - он, тем самым, "показывает паспорт", и если дальше будет проблема - с него могут спросить.

            Для нас это допущение выглядит смешно, но для большинства пользователей ВК это вполне себе непреодолимая мера защиты, они даже не догадаются загуглить, как получить номер для регистрации.


            1. ifap
              09.12.2023 12:15

              У "Мегафона" есть "дополнительные" номера за 3 руб/сутки, что дешевле даже всех этих способов с гуглением (если нас не интересует анонимность), но ВК активно борется с их использованием, хотя казалось бы: известно, кому в каждый конкретный момент был выделен тот или иной номер.


              1. rsashka
                09.12.2023 12:15

                Потому что тут вопрос не только в идентификации конкретного пользователя (ведь это легко обеспечивается подобными "дополнительными" номерами). Ведь с их помощью не получится отслеживать активности пользователей с помощью мобильного девайса.


                1. ifap
                  09.12.2023 12:15

                  Так и я о том: соображениями безопасности и заботы о пользователе прикрывается обычный коммерческий интерес. Дуров врал, вымогая телефон, новые хозяева врут, хотя казалось бы - теперь это требование закона и врать вообще не нужно.


    1. Aelliari
      09.12.2023 12:15

      Номер телефона не безопаснее, и никогда не был. Но им это тупо удобнее, и одновременно проще для основной массы людей чем какое-то непонятное приложение с одноразовыми кодами. Куча людей даже не знают своих паролей от почт…


      1. DagothNik
        09.12.2023 12:15

        Ну к слову сказать, в iOS с недавнего времени генератор кодов встроен в связку ключей. На Android такое могло появиться и раньше (предполагаю, с Windows Mobile сразу на iOS пересел и по этому не в курсе подробностей), Google Authenticator штука древняя.


        1. 3ycb
          09.12.2023 12:15

          Google Authenticator штука древняя.

          И стала жутко глючной и тормозной с недавнего времени. Отправил ее в пешее эротическое путешествие. Aegis замечательная альтернатива. И удобнее и есть возможность зашифрованного бэкапа, соответственно и восстановление из него.

          А по теме статьи, Желтушный заголовок и передергивание в самой статье.

          Надуманность данного повода доказывается тем фактом, что в качестве
          двухфакторной аутентификации можно использовать либо специально
          приложение, либо SMS, либо аппаратный ключ безопасности. Причем это без каких либо альтернатив

          Так сами же ниже пишете, что есть альтернатива в виде TOTP приложения.

          Зачем же тогда нужен аппаратный ключ безопасности, стоимостью в 60$?

          Пользуйтесь любой аппликашкой TOTP бесплатно, коих вагон и маленькая тележка без привязки к "вместо привязанного к сетевой учетной записи постороннего приложения" Но уж точно не в плагине браузера, это вообще не безопасно. TOTP должно запускать на каком нибудь другом устройстве


          1. rsashka
            09.12.2023 12:15

            Аппаратный ключ безопасности разрешают настроить только после активации с помощью СМС или другого мобильного приложения.


            1. onyxmaster
              09.12.2023 12:15

              Yubikey, как я уже писал выше, вполне себе аппаратный ключ и может быть использован как TOTP-генератор. Итого утверждение про необходимость СМС при наличии Yubikey — ложное.


              1. rsashka
                09.12.2023 12:15

                Итого утверждение про необходимость СМС при наличии Yubikey — ложное.

                Вы читали статью или сразу на комментарии отвечаете?

                Я знаю, что аппаратный ключ не требует СМС. Это GitHub требует активации 2FA с помощью СМС или мобильного приложения, перед тем как разрешить привязать аппаратный ключ к учетной записи.


                1. onyxmaster
                  09.12.2023 12:15

                  Простите, но вы даже комментарии не читаете. Записать вам видео как при помощи Yubikey и без мобильного приложения добавить его как U2F и TOTP без SMS или расширений для браузера?

                  Но я дорого беру :)


                  1. rsashka
                    09.12.2023 12:15

                    Конечно, будьте так добры.


                    1. onyxmaster
                      09.12.2023 12:15

                      Оферту о дороговизне видео вы, стало быть, принимаете? 50USDT за 20 минут моего времени.


                      1. rsashka
                        09.12.2023 12:15

                        У вас для этого в настройках есть специальный раздел "донат". Привязываете кошелек и клепаете свои супер видео с разоблачениями таких как я нерадивых авторов. Сколько соберете, все ваше.


                      1. onyxmaster
                        09.12.2023 12:15

                        Простите, но такой вариант мне не подходит. Думаю не стоило делать такой кликбейтный заголовок, не разобравшись в вопросе. «Срывание покровов» оно такое, плохо заканчивается, если в вопросе не разбираешься.


                      1. rsashka
                        09.12.2023 12:15

                        Ну так раз вы разбираетесь в вопросе, то велком - срывайте покровы и клепайте разоблачения на кликбейтные заголовки.


                      1. 3ycb
                        09.12.2023 12:15

                        срывайте покровы и клепайте разоблачения на кликбейтные заголовки.

                        https://habr.com/ru/articles/779478/#comment_26248004

                        Вот пожалуйста. После пассажа о Google Authenticator

                        "А по теме статьи...." и тд


            1. 3ycb
              09.12.2023 12:15

              Ну и? В чем проблема, другое мобильное приложение?


            1. Dolios
              09.12.2023 12:15

              разрешают настроить только после активации с помощью СМС или другого мобильного приложения.

              Но это же неправда. Зачем такое писать на сайте, много пользователей которого эту процедуру уже прошли?


              1. rsashka
                09.12.2023 12:15

                А в чем я написал неправду? Напишите или киньте ссылку на инструкцию GitHub, как это можно сделать.


        1. Aelliari
          09.12.2023 12:15

          К слову сказать, гитхаб умеет и в passkey, и что google, что apple ещё несколько лет назад принесли поддержку FIDO2. Так ещё и теперь активно продвигают passkey, благодаря чему телефоны умеют уже и в него.

          Вот вам и аппаратный токен, если у вас есть современный ios/android-телефон. Без дополнительных денежных вложений (если он у вас уже есть)


          1. 3ycb
            09.12.2023 12:15

            Только у passkey проблема пока еще в Лисе на Линуксе, не работает в Firefox passkey. Либо Хром, либо форточки.


            1. Aelliari
              09.12.2023 12:15

              Хм, вот не могу вспомнить, работал у меня в firefox «софтовый» FIDO2 токен или физический, на федоре… А вот passkey там я точно не тестировал


          1. rsashka
            09.12.2023 12:15

            Если вы согласны использовать телефон, можно просто поставить любое приложение или пользоваться дефолтным и больше не заморачиваться.

            Проблемы возникают, когда пользователей заставляют использовать телефон (СМС или мобильное приложение), обосновывая это безопасностью. Хотя не меньшую безопасность можно реализовать и без использования телефонного номера / мобильных приложений.


            1. 3ycb
              09.12.2023 12:15

              Так где ж заставляют использовать именно телефон то? Заставляют использовать 2FA, так это и замечательно. Что плохого в мобильном приложении TOTP?


  1. DmitryLeonov
    09.12.2023 12:15

    Эти TOTP-аутентификаторы сейчас завезли примерно в каждый парольный менеджер, не считая кучи отдельных оперносорсных приложений, ни одно из которых не привязано к телефону. Причем TOTP в браузере (и вообще на основном устройстве) — так себе идея, слегка противоречащая двухфакторности.

    Поэтому заголовок про обход обязательной привязки к телефонному номеру просто некорректен, речь просто об использовании еще одной штатной возможности.


    1. rsashka
      09.12.2023 12:15

      Вообще-то в статье речь про то, как настроить на GitHub аутентификацию с аппаратным ключом безопасности самым простым способом, обойдя обязательное требование сервиса о наличии уже активированной 2FA (без помощи приложений и дополнительных сетевых учеток на телефоне или отправки SMS).


      1. DmitryLeonov
        09.12.2023 12:15

        Только при этом она называется "Обходим обязательную привязку телефонного номера к своей учетной записи на GitHub".


        1. rsashka
          09.12.2023 12:15

          Ну да, напрямую (путем отправки СМС) или опосредованно через учетную запись мобильного приложения.


          1. 3ycb
            09.12.2023 12:15

            Ключевое слово обязательную

            Хотя это совсем не так.


            1. rsashka
              09.12.2023 12:15

              Может быть я не внимательно читал инструкции на ГитХабе, но я так и не нашел как это можно сделать без СМС или мобильного приложения. Потому и решил поделиться найденным способом, вдруг кому и пригодится.


  1. withkittens
    09.12.2023 12:15

    Обходим обязательную привязку телефонного номера к своей учетной записи на GitHub

    Ожидание: Github начал требовать номер телефона, находим уязвимость в интерфейсе или API и пропускаем шаг привязки телефона.

    Реальность: ну обязательная привязка необязательная, просто кликните кномпочку с фактором не про номер телефона


    1. rsashka
      09.12.2023 12:15

      Реальность: ну обязательная привязка необязательная, просто кликните кномпочку с фактором не про номер телефона

      Я скорее всего пропустил этот момент. Может покажете, на какую кнопочку мне нужно было кликнуть, чтобы активировать 2FA без номера телефона или мобильного приложения?


      1. onyxmaster
        09.12.2023 12:15

        Ту же, которую для мобильного приложения. Вместо мобильного приложения только использовать Yubico Authenticator.


      1. withkittens
        09.12.2023 12:15

        Да, конечно, она у вас на скриншоте:

        Как вы сами и выяснили, приложения для одноразовых кодов существуют не только мобильные :)


        1. rsashka
          09.12.2023 12:15

          Как вы сами и выяснили, приложения для одноразовых кодов существуют не только мобильные :)

          Ну да, именно об этом и статья, так как в официальной документации по настройке 2FA на GitHub упоминается про использование только мобильных приложений.


  1. 3ycb
    09.12.2023 12:15

    Может покажете, на какую кнопочку мне нужно было кликнуть, чтобы
    активировать 2FA без номера телефона или мобильного приложения?

    И все таки, объясните мне недогадливому, пожалуйста. Чем вам неугодило мобильное приложение TOTP для 2FA?


    1. rsashka
      09.12.2023 12:15

      Мне не нравится использовать для этих целей свой телефон :-)


      1. 3ycb
        09.12.2023 12:15

        для этих целей свой телефон

        Кто ж вас заставляет? Используйте что угодно, но точно не браузер из которого вы коммуницируете с Github


        1. rsashka
          09.12.2023 12:15

          Вообще-то я использую аппаратный ключ с физическим подтверждением выполняемого действия. Вам не кажется, что это немного надежнее, чем использование мобильного приложения?


          1. 3ycb
            09.12.2023 12:15

            Вам не кажется, что это немного надежнее, чем использование мобильного приложения?

            Не кажется, учитывая, что аппаратный ключ надо еще купить за 60$. И попрежнему вы так и не объяснили, чем именно вам не нравится мобильное приложение TOTP

            Не то что я вас уговариваю, просто непонятно.


            1. rsashka
              09.12.2023 12:15

              Так я же уже писал, потому что оно мобильное, но вдаваться в детали я не хочу, т.к. это выходит далеко за рамки обсуждаемой темы.


              1. 3ycb
                09.12.2023 12:15

                Так я же уже писал, потому что оно мобильное

                Тогда у меня для вас плохие новости. Вам в тайгу, отшельником :) (шутка юмора)

                Про интернет и компьютер я уже вообще молчу.


      1. andrey_27
        09.12.2023 12:15

        Так не используй... У меня Authy и на компе, и на телефоне. Да, по номеру телефона, и да, это безопасно. Вместо нытья о том, что все делается "ради вашей безопасности", давно пора понять, что так оно и есть.


    1. Nasreddin_Hodja
      09.12.2023 12:15

      Чем вам неугодило мобильное приложение TOTP для 2FA?

      Необходимость доставать телефон и ковыряться в нём, работая за ноутом или десктопом? Идея дурацкая в принципе. То же касается получения кодов на sms. Годится разве что для обывательских развлекательных площадок типа "одноклассников".


      1. ilyamodder
        09.12.2023 12:15

        Если ваша операционная система не умеет в автоподстановку кодов из СМС или из TOTP, то это не проблема смс.


        1. Nasreddin_Hodja
          09.12.2023 12:15

          А с какой стати она вообще должна это уметь и вообще иметь доступ к sms и прочим данным из других устройств?


          1. Balling
            09.12.2023 12:15

            С такой, что в моей Android 13 уже работает подстановка смс паролей, например.


  1. Brogahnl
    09.12.2023 12:15


  1. 3ycb
    09.12.2023 12:15

    Кстати, в защиту автора, если бы он писал не про Github, а про Гос Услуги, я бы с ним согласился. Там сделали действительно дурацкую систему 2FA. При ее активации, вы обязаны выбрать и смс и если хотите, еще что нибудь(TOTP, ключ... ). Вроде все хорошо, но при выключении опции смс(когда уже добавили дополнительные 2FA ) вырубается 2FA вообще. Т.е. невозможно пользоваться 2FA без смс Все в точности, как у автора в этой статье. :) Ну не бред?


    1. Dolios
      09.12.2023 12:15

      При ее активации, вы обязаны выбрать и смс и если хотите, еще что нибудь(TOTP, ключ... ).

      Не выбирал смс на госуслугах, только TOTP. Но там проблема с тем, что номер в принципе удалить нельзя.


      1. 3ycb
        09.12.2023 12:15

        Как только я выключал 2FA опцию смс, вырубалась вообще вся 2FA, а без вырубания 2FA смс, оно приходит на телефон. А нафиг мне на телефон, если мне надо TOTP. Сам номер телефона я и не собирался удалять естественно.


        1. Dolios
          09.12.2023 12:15

          В саппорт пробовали писать? У меня включена 2FA, именно TOTP, никаких смс мне не приходит.

          Сам номер телефона я и не собирался удалять естественно.

          Не знаю, что в этом естественного, я хотел удалить, но это невозможно. Номер - это огромная дыра в безопасности, потому что он вам не принадлежит и его легко передадут другому.


          1. 3ycb
            09.12.2023 12:15

            В саппорт пробовали писать?

            Естесственно. Обосновал все логично, что 2FA он на то и 2FA, что нужно/можно выбирать независимо и равноправно альтернативный вариант, а не как у них сейчас. Получил отписку для "дебила" и дрожу, потому что номер телефона на маму был оформлен, а она умерла. А я не в России и неизвестно когда смогу ногами прийти в МФЦ. Пока номер работает, но уже Теле2 требует подтвердить его фото паспорта. А паспорта маминого у меня нет, только номер, серия. Короче, квест еще тот.


            1. Dolios
              09.12.2023 12:15

              Я бы пробовал еще раз писать/звонить. У меня TOTP работает без смс. В FAQ они у себя тоже самое про TOTP пишут.

              У меня в профиле вот так

              Там радиобаттоны, там вообще нельзя одновременно смс и TOTP выбрать.


              1. 3ycb
                09.12.2023 12:15

                Аааа, очень извиняюсь, напраслину навел на Гос услуги. Это на mos.ru такая холера с 2FA, а не Гос услуги. Перепутал. Каюсь. :( А на mos.ru сейчас из-за бугра вообще не дает зайти, сайт недоступен. Видимо режут пакеты с IP не из СНГ


                1. Dolios
                  09.12.2023 12:15

                  :)

                  Видимо режут пакеты с IP не из СНГ

                  Это массовая беда сейчас. Режут не только зарубежные IP, но и IP российских датацентров некоторые типа мосэнергосбыта.


                  1. Evengard
                    09.12.2023 12:15

                    Мосэнергосбыт ещё после начала событий 2022 стал на ночь свои сайты отключать...


                    1. Dolios
                      09.12.2023 12:15

                      Да, сюр какой-то. Рассказал бы мне кто-то подобное 3 года назад я бы пальцем у виска покрутил.


                  1. andrey_27
                    09.12.2023 12:15

                    Так это частая практика, наверняка это просто метод антиддоса. Российские сайты под прицелом, вот и перестраховываются (или уже были случаи)


                    1. Dolios
                      09.12.2023 12:15

                      Я понимаю, зачем это делают, но это перекладывание проблемы на клиента.


            1. Balling
              09.12.2023 12:15

              "дрожу, потому что номер телефона на маму был оформлен, а она умерла."

              И в чем проблема? Или вы в наследство не вошли ещё? 6 месяцев и номер ваш. Если вы один наследник то в завещании можно не упоминать номер.

              К МТС можно переоформить как пользователь, а в других за 200 рублей взятки вообще.


              1. 3ycb
                09.12.2023 12:15

                Вы наверное невнимательно прочитали мое сообщение. Проблема в том, что я не в России нахожусь и неизвестно когда смогу приехать. А такие вопросы можно решить только при личном присутствии в офисе опсоса.


                1. rsashka
                  09.12.2023 12:15

                  при личном присутствии в офисе опсоса.

                  Либо по доверенности


    1. aborouhin
      09.12.2023 12:15

      Давно пользуюсь с Госуслугами TOTP без всяких СМС, всё работает. Возможно, для новых регистраций / активаций 2FA что-то поломали, конечно.


      1. Balling
        09.12.2023 12:15

        Он про mos.ru говорил.


    1. DmitryLeonov
      09.12.2023 12:15

      При первом включении 2FA для Google-аккаунта тоже сначала привязывают телефон, только потом дают выбрать другие варианты. Фейсбук с твиттером вроде бы тоже так себя ведут, давно не проверял. Так что попавший под раздачу Github тут скорее приятное исключение.


  1. Dolios
    09.12.2023 12:15

    Другими словами, чтобы использовать аппаратный ключ, нужно предварительно включить двухфакторную аутентификацию с использование SMS (читай номера телефона), либо программы, которая привязана к сетевой учетной записи Googgle, Microsoft или другого сервиса и опять же с привязкой к номеру телефона.

    Вы ерунду пишите какую-то. Github вполне себе TOTP позволяет в качестве второго фактора. А коды для него вы хоть самописным скриптом в 15 строк на питоне генерить можете, никаких учетных записей "Googgle, Microsoft или другого сервиса" для этого не требуется. Тем более не требуется смс. Загуглите "TOTP code generator python", например. Там не рокет сайнс.


  1. GiaNT_05
    09.12.2023 12:15

    Лайфхак кто не хочет запариваться и хочет получать СМСки: Ставим страну Казахстан и вводим свой номер. Я с Билайном так провернул, месяца 2 полёт стабильный.


    1. 3ycb
      09.12.2023 12:15

      А в чем цимес?


      1. Evengard
        09.12.2023 12:15

        У Казахстана код страны тоже +7


        1. 3ycb
          09.12.2023 12:15

          Хорошо, а в чем смысл этого действия? Что это дает? Не понимаю.


          1. kipar
            09.12.2023 12:15

            в том что если выбрать страну Russia, github напишет что для этой страны вариант с смс недоступен.


  1. MAXH0
    09.12.2023 12:15

    [Мыши и Кактус.jpg]

    ИМХО Сам факт, что крупнейший репозиторий кода попал под контроль корпораций - черный день для всего свободного сообщества. Причем QWERTY эффект делает все возможные альтернативы менее привлекательными. Что печально.

    Ваше же решение работает только до тех пор, пока MS не потребуют еще чего нибудь. Например, фото разворота паспорта (как уже требуют некоторые биржи)...


    1. rsashka
      09.12.2023 12:15

      Ну если уж на чистоту, то guthub никогда не принадлежал свободному сообществу. Он всегда был коммерческой компанией и в один момент просто сменил собственника.
      И мыши вынуждены кушать кактус guthub, потому что на ГитХабе самое большое сообщество, в отличии от того же gitflic.ru (который кактус еще хуже).


      1. MAXH0
        09.12.2023 12:15

        на ГитХабе самое большое сообщество

        Это я и имел ввиду под кверти эффектом.


        1. rsashka
          09.12.2023 12:15

          Да, я понимаю. Так же как и у него не будет в ближайшее время альтернатив, т.к. его самое сильное конкурентное преимущество перед остальными репозиториями - это именно сообщество.

          Мне кажется именно по этому они не хотят сразу делать явную привязку к номеру мобильника (что бы не отпугнуть пользователей) и в тоже время они максимально затруднили использование альтернатив мобильнику для 2FA (по крайне если все делать по их штатной документации).


          1. 3ycb
            09.12.2023 12:15

            Или я тупой? Вы из раза в раз утверждаете что "максимально затруднили использование альтернатив мобильнику для 2FA". Вам все чуть ли не орут в голос, что ничего подобного и приводят примеры/доказательства, что нет, а вы со странным упорством, продолжаете нести эту пургу про "явную привязку к номеру мобильника". Где? Где вы это увидели/берете?


            1. rsashka
              09.12.2023 12:15

              Так не нужно орать, сотрясать воздух или обещать смонтировать супер крутое разоблачительное видео если денег заплатят.

              Достаточно один раз привести ссылку на инструкцию с GitHub, где написано как подключить аппаратный ключ безопасности без использования какого либо мобильного приложения или СМС.


              1. Aelliari
                09.12.2023 12:15

                Github действительно принуждает использовать для 2FA либо TOTP (не мобильное приложение, а TOTP) либо смс, и только потом позволяет добавить U2f токен.

                Но как вам уже сказали, ваш yubikey также может быть этим самым TOTP-провайдером (да, вы можете сделать генератором кодов сам токен), как и браузерное дополнение, как и приложение на любой разумной платформе (не обязательно это телефон).

                Сделано это скорее из исторических причин и опасений за поддержку на мобильных устройствах, реальной необходимости принуждать к TOTP/смс для активации U2f я не вижу

                P.S. Я понимаю что вам не подходит passkey, но для его добавления - TOTP не нужен


              1. 3ycb
                09.12.2023 12:15

                Достаточно один раз привести ссылку на инструкцию с GitHub, где написано
                как подключить аппаратный ключ безопасности без использования какого
                либо мобильного приложения или СМС.

                Понятно, это не я тупой....

                Вам уже тыц таких ссылок и советов привели. Даже с картинками. Вот только не надо передергивать. В статье и в заголовке, вы утверждаете, что без смс никуда. А теперь вы просите ссылку на подключение донгла.


                1. rsashka
                  09.12.2023 12:15

                  Вам уже кучу таких ссылок привели.

                  Ну так скопируйте хоть одну из целой кучи.

                  И передергиваете именно вы, я утверждаю, что согласно документации GitHub "без СМС или мобильного приложения" ...


                  1. Balling
                    09.12.2023 12:15

                    Windows 11 поддерживает мобильные приложение android. Я не понимаю...


                    1. rsashka
                      09.12.2023 12:15

                      Я работаю под Linux, но и тут можно запустить Android приложение.
                      Вот только вам не кажется, что это немного сложнее приведенного в статье способа?


                      1. Balling
                        09.12.2023 12:15

                        Сложнее чем нативная часть Windows? Android subsystem...


                      1. rsashka
                        09.12.2023 12:15

                        Да хоть Linux subsystem. Ведь это же будет означать, что данные пляски с бубном запуском Andorid приложения придется выполнять каждый раз при необходимости авторизации на GitHub.


                      1. Aelliari
                        09.12.2023 12:15

                        Уж простите, но в этом вопросе я на стороне @rsashka, android subsystem? Тянуть ради totp оверхед в виде виртуализации? Нафиг-нафиг, вон, keepass есть и бездна других приложений


                      1. Balling
                        09.12.2023 12:15

                        Ну не хотите, придется использовать Galaxy смартфон. 120 Hz экран — удовольствие большое.