Я всё пропустил? Все нормлаьные люди уже отнервничали от обязательного 2FA на GitHub без возможности СМС в Россию?

Лютое 4.2, язабан

Входи через TOTP (проверил, всё работает)

Кто такой ТОТР ?

Оно меня пугает, мол через 7 дней не пущу. И предлагает какое-то приложение установить, или СМС-не-в-Россию.

Пока нажал кнопку «давай завтра». Но завтра-то всё равно настанет рано или поздно.

И предлагает какое-то приложение установить

Ну так установи. Я его вообще в яндекс.ключ засунул(на прошлом смарте в аутентификаторе от мелкомягких было), всё равно для яндекса было поставлено.

Кто такой ТОТР ?

Грубо говоря программа, которая выдаёт шестизначный код, который нужно ввести при подтверждении доступа в GitHub. Программа пишется в несколько строчек на Питоне, никакие прилодения на смартфоне не требуются.

Программа пишется в несколько строчек на Питоне

О! Так почти понял. Попробую.

А то у меня и смартфона-то нет.

Или люди просто забили на GitHub?

Никогда там не регился. Использую как место для скачивания тарболлов.

Настроил TOTP в KeePassXC. Вроде работает.

TOTP есть в любой хранилке паролей

https://www.nongnu.org/oath-toolkit/oathtool.1.html

(и чтоб два раза не вставать: госуслужный 2fa/totp тоже через него работает).

Или люди просто забили на GitHub?

Один раз решил зарегаться чтобы issue создать, а оно (ms-хаб) меня в теневой бан с порога закинуло.

в теневой бан с порога закинуло

аналогично, еле разобрался, что происходит, и как выбраться.

И нафига обычным пользователям (те, которые хотят bug зарепортить, а не код на GH положить) вся эта головоморока с 2fa и пр. :-((

Самое простое решение:

В общем, я установил браузерное расширение Аутентификатор. Оно помогает получить код для доступа к аккаунту в браузере.

Дальше в настройках нужно добавить публичный SSH ключ машины и сгенерировать токен.

Ну и начинается:
git clone https://<token>@github.com/<username>/<repo>.git
...
git remote remove origin
git remote add ssh-origin git@github.com:<username>/<repo>.git
git push --set-upstream ssh-origin master

Настроил TOTP в KeePassXC

Давно сделал так же

Удобней всего использовать через браузер, например https://totp.danhersam.com

И предлагает какое-то приложение установить

apt install otpclient

Доверить хранение своего единственного бастиона двухфакторки какому-то левому чуваку в интернете? А мсье знает толк.

Хранить-то надо в текстовом файлике Пароли.txt, а вот вычислять TOTP так удобней - ничего не надо ставить.

А кто-то для 2FA использует СМС вместо TOTP?

aegis на f-droid

Программа пишется в несколько строчек на Питоне

Что-то никто тут свой велосипед в несколько строчек не показал.

Вот такое у меня получилось. Проверил, работает.

CREATE OR REPLACE FUNCTION public.topt(p_key text)
 RETURNS text
 LANGUAGE plpgsql
AS $function$
DECLARE
	v_hmac bytea;
	v_offset int;
	v_res int4;
BEGIN
	v_hmac := 
		hmac(
			/* получаем текущий номер 30 секундного отрезка
			 * в 16ричном виде, строкой на 16 символов */
			format(
				'\x%s'
				,lpad(
					to_hex(
						floor(extract(epoch FROM now()) / 30)::int
					), 16, '0'
				)
			)::bytea,
			/* декодируем входной секретный ключ по base32 */
			util_base32_decode(p_key),
			/* и хмакаем всё это по алгоритму sha1 */
			'sha1'
		)
	;

	/* такая вот магия определения смещения начала нужных 4х байтов
	 * видимо надо взять значение последних 4 битов от HMAC */
	v_offset := get_byte(v_hmac, length(v_hmac) - 1) & 0x0F;

	/* теперь собираем в int4 нужные 4 байта от смещения
	 * а у первого байта сбрасываем старший бит */
	v_res :=
		((get_byte(v_hmac, 0 + v_offset) << 24) & 0x7F000000)
		|
		(get_byte(v_hmac, 1 + v_offset) << 16)
		|
		(get_byte(v_hmac, 2 + v_offset) << 8)
		|
		(get_byte(v_hmac, 3 + v_offset))
	;

	/* возвращаем остаток от деления на 1 000 000
	 * дополнив слева нулями до 6 символов */
	RETURN lpad((v_res % 1000000)::text, 6, '0');
END;
$function$
;

Кто не умеет в велосипеды - те просто пользователЯ :P

2фа на смс это бесячий изврат, даже хуже письма на мыло. Есть totp, ключи, пасскей на мобильном.

А я привык. Меня всё устраивает с СМС.

Смартфоном не пользуюсь. Есть нормальный кнопочный телефон.

Тут скорее как раз наоборот - сервис, который не хочет со мной разговаривать удобным мне способом - идёт лесом.

Можно было бы и GitHub туда же. Но чот вот рогом упёрся - победил его totp из принципа. Просто не знал, что так можно.

SMS != 2FA

Почему? Я и тут что-то неправильно понимаю?

Фактор 1: у меня есть набор букв (логин) и я знаю набор букв к нему в пару (пароль)

Фактор 2: у меня есть доступ к телефону, указанному в профиле, и я могу подтвердить получение сообщения на него в СМС.

Или как ещё можно понимать «двухфакторная»?

А я привык. Меня всё устраивает с СМС.

смс забивают память телефона. Да и сообщать свой номер, кому попало, не хочется.

Смартфоном не пользуюсь. Есть нормальный кнопочный телефон.

Ну раз нормальный, то почему твой TOTP генератор на plpgsql, а не на java me? ;-)

С одной стороны да, это как бы «2-й канал».

С другой, почитай про дуршлаг под названием SS7 (и последующие). Это всё равно, что логиниться через HTTP (без S).

TL;DR: сниффинг – как 2 пальца об асфальт. Отправка SMS, без ведома получателя – как 2 пальца об асфальт. Получение/перенаправление SMS, без ведома получателя – как 2 пальца об асфальт.

не на java me?

Кстати да. Вполне тема поиграть ещё в эту игру. Как минимум OperaMini на нём точно запускается. Значит можно и JavaTOTP навелосипедить, в теории.

на plpgsql

Баловство, конечно. Сугубо поиграть. Сегодня вот играл в игру «нарисуй граф по заданным узлам и граням сразу в svg на plpgsql». Тут проигрываю пока.

дуршлаг

А, в этом смысле.

Ну, не знаю. Банк вон списывает у меня с карты 100 000 настоящих рублей по СМС, не морщится.

-------

На самом деле только сейчас дошло, что это может быть связано с хранением персональных данных на территории РФ. Т.е., вероятно, это вовсе не GitHub выделывается, а наоборот.

Значит можно и JavaTOTP навелосипедить, в теории.

или взять готовый - https://totpme.sourceforge.net/

Простор для творчества :-)

На самом деле …

Штирлиц начал что-то подозревать. ;)

PS: В любом случае SMS для чего либо, коме чмоков и банальщины – это как «раздевалка, через дрогу баня» для эксебионистов. Чем вас totp не устроил?

Чем вас totp не устроил?

Просто непривычностью/необычностью/незнанием.

Примерно, как читать всю книгу слева направо, но на одной странице оказывается надо справа налево. Или как «|» с «\» должны быть над «enter».

Не верю людям, которые говорят, что легко и непринужденно меняют свои привычки.

Я, с российским номером.

Меня всё устраивает с СМС.

А потом люди удивляются откуда столько спам звонков повылазило. И это не говоря про то что смс идёт по несколько минут, иногда не приходит вообще и стоит конских денег для сервиса (смс в Россию у многих провайдеров сейчас по 50 центов).