Comments 25
<sarcasm>Им видимо надоели те, кому они доступ к аккаунту без двойной авторизации заблокировали</sarcasm>
К слову, доступ не "ограничен", доступ отключён. И не с 19 января 2024, а с сентября 2023
Тут вроде про 19 января писали
Скриншот
Они похоже постепенно народ заставляют двуфактторную авторизацию включать. Я из-за этого не могу войти в свой аккаунт с середины сентября, и судя по жалобам и обсуждениям - я не в первых рядах был (у меня с Microsoft неразрешимо разные представления о потенциальных рисках и удобстве способов авторизации - я скорее потеряю ключ, чем мой аккаунт взломают).
Будет забавно, если мой новый аккаунт, что я только для багрепортов использую, тоже залочат.
Можете использовать ТОТР и генерировать их на том же компьютере. Но Microsoft редиски, жалко что они купили github. Вряд ли дальше будет лучше.
Добавлять в авторизацию что-то, что может быть отчуждено это не правильно. Для авторизации подходит только то, что:
не может быть изъято без ведома.
может быть изменено хозяином.
Пока подходит только пароль.
Я так на gitflic подключил 2fa. Через полгода сдох телефон, а такой вариант в их workflow принципе не предусмотрен. На радость у них оказалась очень отзывчивая поддержка, которая сбросила 2fa.. но это скорее даже минус, так как владея минимальными знаниями о репах жертвы можно угнать аккаунт
а такой вариант в их workflow принципе не предусмотрен.
Ни в коей мере не оправдывая их (ибо, как Вы сами отметили, это security theater, который остановит только наименее настойчивого "хакера"), такой вариант должен быть предусмотрен в Вашем workflow: когда Вам выдают QR-код (который на самом деле представляет из себя всего-навсего машинночитаемую форму URL, содержащего секретный ключ), его надо сохранить/распечатать и спрятать в безопасное место (можно в N экземплярах) — тогда в случае смерим девайса Вы сможете достать сохранённое из заначки и ввести его в новый девайс.
Искренне интересно, но в чем именно проблема ее включить? Сегодня есть миллион разных способов, начиная с самых секьюрных в виде физических ключей, заканчивая приложениями вроде Authy, которые синхронизируют TOTP в облако и потерять ключ оттуда достаточно проблематично. Ну и везде есть коды восстановления, которые можно распечатать и положить в сейф или записать на стикер и приклеить к монитору. Опять же, зависит от того, какой уровень секьюрности нужен именно вам.
1) не удобно. Нужно делать на одно действие больше каждый раз при логине. Есть люди, которые работают более чем с одного компа из дома, и им надо логиниться каждый день.
2) не секьюрно. Половину авторизации могут украсть или скопировать, а ты об этом не узнаешь.
3) слишком навязчиво. В последнее время когда хозяин сервиса заставляет тебя делать что-то помимо твоей воли, шантажируя отключением услуг, люди почему-то смотрят на это спокойно. Да, километры пользовательских "соглашений" (согласие в кавычках, ибо его не возможно не дать) и толпы юристов делают такой шантаж законным, но от этого не изчезает ощущение некомфорта, а местами становится даже больше.
не секьюрно. Половину авторизации могут украсть или скопировать, а ты об этом не узнаешь.
Никак не вижу почему при увеличении числа факторов до двух, а потом уменьшении обратно до 1 (из-за кражи второго) общая безопасность падает.
Это скорее мой личный бзик. Чем сильнее меня что-то заставлять сделать - тем быстрее вероятность того, что я это сделаю стремится к нулю.
Ну и в целом куча мороки которая нафиг не нужна. Перенёс личные проекты на gitlab и завёл новый аккаунт исключительно для багрепортов
Помнится однажды мой пароль к аккаунту Амазона просто перестал работать. Т.е. залогиниться было вообще нельзя, сбросить пароль тоже не получалось, т.к. оно сначала для проверки требовало данные платежной карты, которой физически не существовало уже несколько лет как - её срок давно истек, карту отобрали в банке и порезали. Пообщаться же с тех.подержкой можно было только имея рабочий аккаунт (т.е. - залогиниться) или только голосом по телефону.
Мне в то время очень понравился такой поход. Теперь вот и на Гитхабе будет...
Они тут не первые, у нас в Челябинске одно время где-то в нулевых пожаловаться на отсутствие сигнала в телефонной линии было возможно только с проводного телефона. Потому что кто-то очень умный настроил "переадресацию" с полных номеров АТС на новомодный короткий, существующий только в сети оператора связи...
Не знаю, из-за чего сыр-бор — я захожу по паролю, никакого 2FA с меня не требовали, приведённой в заголовке плашки ни разу не видел. Вообще не представляю, на... в смысле зачем этот 2FA — кто будет взламывать мой гитхаб ради моего хобби-проекта с пятью клонами во всём мире? Если и дальше будут давить — либо пойду на гитлаб какой, либо заведу свой собственный сервер.
Попытался зарегаться на гитлабе — тот требует "подтвердить личность" через номер телефона или кредитки (ЧО??? Я тебе мой код отдаю — на какое тебе дело до моей личности, железяка?). Ну, тады гитлаб присоединяется к стройным рядам идущих вместе на йух.
Это у них капча такая. Видимо, их в конец достали боты, которые не то майнят крипту, не то устраивают DDoS на их мощностях через CI пайплайны. Если подключить к проекту или группе проектов свой раннер - гитлаб успокоится и просить кредитку перестанет.
Но да, бесит. Особенно когда не принимает российские карты.
Портал поддержки GitHub теперь доступен только через учётную запись GitHub