LINUX.ORG.RU
ФорумMobile

TOTP 2FA приложения: для GitHub и не только

 2fa, , ,


3

4

В связи с тем, что GitHub ещё раз более настойчиво начал напоминать о необходимости включить 2FA, стало интересно: какими приложениями для этих пользуются пользователи ЛОР?

Какими ещё пользовались и что в них нравилось или не нравилось?

★★★★★

Последнее исправление: hobbit (всего исправлений: 2)

Я подумываю попробовать пользоваться «яндекс ключ», если он для этих целей совместим. Из преимуществ: меньше вероятность, что забанит гугл, мс (хотя гитхаб их) по ip и прочие хранящие данные 6эна клаудфаре.

grem ★★★★★
() автор топика

Избегаю по мере возможности. Ещё мне второй «пароль» печатать не хватало.

Жду в Линуксе FIDO поверх TPM2, как в божественной одиннадцаточке - всяко чаллендж-респонс безопастнее шести знаков. Юбикей купить жаба давит, свободного решения на блюепилле (наподобие Gnuk для GnuPG) не существует. Резюмируя:

-TOTP
+WebAuthn
token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 7)
Ответ на: комментарий от grem

TOTP, aka rfc6238, aka двухфакторка в понимании гитхаба совершенно не обязан быть привязан какому-то сервису. Полностью оффлайновые есть andOTP для андроида и например встроенный в KeePassXC.

MagicMirror ★★
()
Ответ на: комментарий от MagicMirror

двухфакторка в понимании гитхаба

далеко не одним TOTP ограничивается. Там ещё и SMS (в ограничённом перечне стран), WebAuthn и аутентификация через приложение на ондроед.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 2)
Ответ на: комментарий от token_polyak

Насколько я понял, для использования приложения github под андроид и подтверждение через него всё равно сначала этот totp настроить придётся.

grem ★★★★★
() автор топика
Ответ на: комментарий от MagicMirror

andOTP 2 года как не обновлялся и разработчик прекратил поддержку год назад.

А так да, любая софтина подходит с фичей TOTP. К счастью даже камера для считывания QR кода не обязательна.

grem ★★★★★
() автор топика
Ответ на: комментарий от MagicMirror

Ну почти то что заказывали: https://github.com/psanford/tpm-fido

Интересная штука.

  1. Не похоже, что стандарт U2F реализован полностью.
  2. CTAP2 нет вообще.
  3. Качество кода невысокое: такого сорта код должен быть хорошо покрыт тестами, как тот же Gnuk хотя бы. Ожидал кучу ассертов во всех подозрительных местах. И не golang.

Я бы поостерегся таким пользоваться.

i586 ★★★★★
()
Ответ на: комментарий от token_polyak

Перечитал подробнее о этой фиче и похоже, что сохранив исходный qr код/код можно его расписать на разные устройства/приложения.

grem ★★★★★
() автор топика

Можно поставить oathtool на свой Linux-десктоп, ключ я шифрую с помощью своего GPG-ключа.

Пример команды для генерации одноразового пароля:

gpg -q --decrypt ~/.2fa/encrypted_oath_key.gpg | oathtool --totp -b -
Ja-Ja-Hey-Ho ★★★★★
()
Последнее исправление: Ja-Ja-Hey-Ho (всего исправлений: 1)
Ответ на: комментарий от grem

А так да, любая софтина подходит с фичей TOTP. К счастью даже камера для считывания QR кода не обязательна.

Так, то да, но тот же Google Authenticator раньше не умел в бэкапы.

Прям недавно у меня сдох телефон с этим говном - и всё, ключи не вытащить никак, пришлось сбрасывать настроенные 2FA для аккаунтов - ещё то приключение.

Хотя вроде как они наконец добавили возможность делать бэкапы, но осадочек-то остался…

Я в итоге на Android этим сейчас пользуюсь: https://play.google.com/store/apps/details?id=com.twofasapp.

Плюс делаю копию ключа, шифруя с помощью GPG, как описано выше (на всякий случай).

Ja-Ja-Hey-Ho ★★★★★
()
Последнее исправление: Ja-Ja-Hey-Ho (всего исправлений: 2)
Ответ на: комментарий от MagicMirror

KeePassXC

Спасибо, там тоже работает.

Всё-таки решил и пароль-менеджером начать пользоваться, а то чаще восстановлением пароля для некоторых ресурсов пользуюсь, столько их развелось.

Но есть и минусы: появилось несколько новых паролей (для отдельных баз). Теперь ещё и их помнить приходится.

grem ★★★★★
() автор топика
Ответ на: комментарий от Ja-Ja-Hey-Ho

Не знаю: у некоторых само в облако кидает, ; у других, судя по скриншотам, непрерывно ключи отображает.

Софтина как софтина, даже минималистична очень. Создание аккаунта яндекс id при использовании не требует, до тех пор, пока бэкап не захочешь сделать. В этом случае нужен будет номер телефона. Бэкапы хранятся год с момента последнего обновления (раньше удалить нельзя).

Не знаю что ещё туда запихнуть, так как пока один сервис потребовал 2fa.

grem ★★★★★
() автор топика
Ответ на: комментарий от MagicMirror

И всё же, почему?

Нет никаких рациональных соображений. Просто я никогда не видел софта такого типа (простого, но критичного в части безопасности) на golang => не понимаю, как он должен выглядеть => не нравится.

i586 ★★★★★
()
15 октября 2023 г.

ТС, расскажи, к чему пришёл в итоге и как с этим работать применительно к гитхабу?

P.S. Я даже думаю, что сейчас на ЛОРе очень актуальна была бы заметка-инструкция «Как включить двухфакторную аутентификацию на GitHub, если вы живёте в России и разборчивы в установке приложений на телефон». Напишешь такую?

hobbit ★★★★★
()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от hobbit

Да просто всё, оказалось: включаешь 2FA авторизацию в настройках на github, выбираешь TOTP 2FA, сканирует qr-код или вводишь номер в выбранное приложение (сохраняешь скриншот куда-нибудь на будущее). Потом ещё просят сохранить коды восстановления доступа.

На компе использую kepassxc, на смартфоне любое понравившееся (я взял яндекс-ключ, как достаточно дубовое и простое решение). TOTP код просит потом при авторизации в веб-интерфейсе.

grem ★★★★★
() автор топика
Ответ на: комментарий от grem

или вводишь номер в выбранное приложение

На компе использую kepassxc

То есть в принципе, приложением можно ограничиться и десктопным, а на смартфоне только циферки срисовать, правильно?

hobbit ★★★★★
()
Ответ на: комментарий от hobbit

Добавлю.

Помимо totp, настроил webauthn и планировал пользоваться исключительно им. Код для totp сохранил. В один прекрасный день, через несколько недель, github заявил мне, что токена недостаточно, и все равно нужно предъявить otp. Сгенерировал с помощью oauthtool.

Поэтому будьте осторожны, нормальной работы с токенами, как в google или microsoft аккаунтах, тут нет.

i586 ★★★★★
()
Ответ на: комментарий от hobbit

И десктопное и смартфонное приложение должны показывать одинаковые числа в один и тот же момент времени, так как привязаны к одной «временной метке», от которой идёт отсчёт. Привязка к метке создаётся на основе того числа или qr кода, которое генерируется при включении 2fa, поэтому в другое приложение эти данные можно добавить хоть на следующий день.

Поэтому можно использовать то, что под рукой и что удобнее запустить в данный момент подсмотреть: числа меняются каждые 30 секунд. Но пока это мне пару раз всего потребовалось.

grem ★★★★★
() автор топика
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от grem

Мне кажется ты его немного запутал. Если @\hobbit желает сидеть на GitHub’е только лишь с десктопов и авторизироваться лишь с них, ему вообще мобилка будет не нужна, достаточно одного KeePassXC.

EXL ★★★★★
()
Ответ на: комментарий от EXL

Да, достаточно. Но у меня, например, 2 компа и держать keepassxc на двух лень, а иногда хочется на втором в браузере залогиниться, тогда держать приложение на смартфоне удобнее. Или если в браузере смартфона, пока я в дороге, вдруг запросит подтверждения.

grem ★★★★★
() автор топика
Последнее исправление: grem (всего исправлений: 1)
Ответ на: комментарий от call-monster

Они все «оффлайновые». Соединение нужно только для синхронизации времени самим устройством, так как если времяубежит или отстанет, то код не подойдёт. Либо вручную часы подводить.

grem ★★★★★
() автор топика
Ответ на: комментарий от MoldAndLimeHoney

Потому что меня не перестаёт забавлять то, как здесь у многих происходит самовозгорание при упоминании яндекса и мейл.ру.

Это не говоря о том, что это не приложение для хранение паролей, а только для генерации одноразовых паролей OTP. Оно даже резервную копию само не делает.

А участковому ты даже даром не сдался.

grem ★★★★★
() автор топика
Ответ на: комментарий от grem

Потому что меня не перестаёт забавлять то, как здесь у многих происходит самовозгорание при упоминании яндекса и мейл.ру.

А меня не перестает забавлять то, что некоторые воспринимают ошибку выжившего как нерушимое правило.

https://meduza.io/news/2016/04/29/mts-otklyuchil-oppozitsioneram-sms-servis-vo-vremya-vzloma-ih-telegram

А участковому ты даже даром не сдался.

До тех пор пока не понадобился.

MoldAndLimeHoney
()