TOTP 2FA приложения: для GitHub и не только

Я подумываю попробовать пользоваться «яндекс ключ», если он для этих целей совместим. Из преимуществ: меньше вероятность, что забанит гугл, мс (хотя гитхаб их) по ip и прочие хранящие данные 6эна клаудфаре.

Избегаю по мере возможности. Ещё мне второй «пароль» печатать не хватало.

Жду в Линуксе FIDO поверх TPM2, как в божественной одиннадцаточке - всяко чаллендж-респонс безопастнее шести знаков. Юбикей купить жаба давит, свободного решения на блюепилле (наподобие Gnuk для GnuPG) не существует. Резюмируя:

-TOTP
+WebAuthn

На работе заставили пользоваться https://multifactor.ru/

Эта ересь к 2fa относится примерно никак.

TOTP, aka rfc6238, aka двухфакторка в понимании гитхаба совершенно не обязан быть привязан какому-то сервису. Полностью оффлайновые есть andOTP для андроида и например встроенный в KeePassXC.

Ну почти то что заказывали: https://github.com/psanford/tpm-fido

двухфакторка в понимании гитхаба

далеко не одним TOTP ограничивается. Там ещё и SMS (в ограничённом перечне стран), WebAuthn и аутентификация через приложение на ондроед.

Спасибо, попробую.

https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis

Лорчую Aegis, полёт нормальный

Никто ж вроде не принуждает к какому-то конкретному способу.

Насколько я понял, для использования приложения github под андроид и подтверждение через него всё равно сначала этот totp настроить придётся.

Дык я про это.

Спасибо. Одним из несомненных плюсов является поддержка импорта сторонних бэкапов.

andOTP 2 года как не обновлялся и разработчик прекратил поддержку год назад.

А так да, любая софтина подходит с фичей TOTP. К счастью даже камера для считывания QR кода не обязательна.

Ну почти то что заказывали: https://github.com/psanford/tpm-fido

Интересная штука.

1. Не похоже, что стандарт U2F реализован полностью.
2. CTAP2 нет вообще.
3. Качество кода невысокое: такого сорта код должен быть хорошо покрыт тестами, как тот же Gnuk хотя бы. Ожидал кучу ассертов во всех подозрительных местах. И не golang.

Я бы поостерегся таким пользоваться.

Не «и», а «или».

Перечитал подробнее о этой фиче и похоже, что сохранив исходный qr код/код можно его расписать на разные устройства/приложения.

И не golang.

Какая разница то?

Самопальным → https://github.com/dim13/2fa

Можно поставить oathtool на свой Linux-десктоп, ключ я шифрую с помощью своего GPG-ключа.

Пример команды для генерации одноразового пароля:

gpg -q --decrypt ~/.2fa/encrypted_oath_key.gpg | oathtool --totp -b -

Оно. Пользуюсь несколько лет.

А так да, любая софтина подходит с фичей TOTP. К счастью даже камера для считывания QR кода не обязательна.

Так, то да, но тот же Google Authenticator раньше не умел в бэкапы.

Прям недавно у меня сдох телефон с этим говном - и всё, ключи не вытащить никак, пришлось сбрасывать настроенные 2FA для аккаунтов - ещё то приключение.

Хотя вроде как они наконец добавили возможность делать бэкапы, но осадочек-то остался…

Я в итоге на Android этим сейчас пользуюсь: https://play.google.com/store/apps/details?id=com.twofasapp.

Плюс делаю копию ключа, шифруя с помощью GPG, как описано выше (на всякий случай).

В отзывах пишут, что он почему-то не может с андроида на иос и наоборот бэкапы восстанавливать. Странно.

Ну проверить не на чём, у меня только Android 🤷

Какая разница то?

«Я так и думал, что по первому пункту разногласий не возникнет.»(c)

Ну так и есть. И всё же, почему?

KeePassXC

Спасибо, там тоже работает.

Всё-таки решил и пароль-менеджером начать пользоваться, а то чаще восстановлением пароля для некоторых ресурсов пользуюсь, столько их развелось.

Но есть и минусы: появилось несколько новых паролей (для отдельных баз). Теперь ещё и их помнить приходится.

Этот «ключ» сам в облако бэкапы не запихивает и на том спасибо. Даже странно.

Так а чем он лучше других аналогичных приложений?

Не знаю: у некоторых само в облако кидает, ; у других, судя по скриншотам, непрерывно ключи отображает.

Софтина как софтина, даже минималистична очень. Создание аккаунта яндекс id при использовании не требует, до тех пор, пока бэкап не захочешь сделать. В этом случае нужен будет номер телефона. Бэкапы хранятся год с момента последнего обновления (раньше удалить нельзя).

Не знаю что ещё туда запихнуть, так как пока один сервис потребовал 2fa.

И всё же, почему?

Нет никаких рациональных соображений. Просто я никогда не видел софта такого типа (простого, но критичного в части безопасности) на golang => не понимаю, как он должен выглядеть => не нравится.

ТС, расскажи, к чему пришёл в итоге и как с этим работать применительно к гитхабу?

P.S. Я даже думаю, что сейчас на ЛОРе очень актуальна была бы заметка-инструкция «Как включить двухфакторную аутентификацию на GitHub, если вы живёте в России и разборчивы в установке приложений на телефон». Напишешь такую?

F-Droid -> Aegis не тянет на статью.

Да просто всё, оказалось: включаешь 2FA авторизацию в настройках на github, выбираешь TOTP 2FA, сканирует qr-код или вводишь номер в выбранное приложение (сохраняешь скриншот куда-нибудь на будущее). Потом ещё просят сохранить коды восстановления доступа.

На компе использую kepassxc, на смартфоне любое понравившееся (я взял яндекс-ключ, как достаточно дубовое и простое решение). TOTP код просит потом при авторизации в веб-интерфейсе.

или вводишь номер в выбранное приложение

На компе использую kepassxc

То есть в принципе, приложением можно ограничиться и десктопным, а на смартфоне только циферки срисовать, правильно?

KeePassXС

То есть в принципе пользоваться можно чем угодно у чего есть +- точные часы и возможность высветить тебе 6 циферок.

Добавлю.

Помимо totp, настроил webauthn и планировал пользоваться исключительно им. Код для totp сохранил. В один прекрасный день, через несколько недель, github заявил мне, что токена недостаточно, и все равно нужно предъявить otp. Сгенерировал с помощью oauthtool.

Поэтому будьте осторожны, нормальной работы с токенами, как в google или microsoft аккаунтах, тут нет.

Aegis. Посоветовали, отзывы хорошие, опен-сорс, поставленную задачу выполняет.

И десктопное и смартфонное приложение должны показывать одинаковые числа в один и тот же момент времени, так как привязаны к одной «временной метке», от которой идёт отсчёт. Привязка к метке создаётся на основе того числа или qr кода, которое генерируется при включении 2fa, поэтому в другое приложение эти данные можно добавить хоть на следующий день.

Поэтому можно использовать то, что под рукой и что удобнее запустить в данный момент подсмотреть: числа меняются каждые 30 секунд. Но пока это мне пару раз всего потребовалось.

Мне кажется ты его немного запутал. Если @\hobbit желает сидеть на GitHub’е только лишь с десктопов и авторизироваться лишь с них, ему вообще мобилка будет не нужна, достаточно одного KeePassXC.

Да, достаточно. Но у меня, например, 2 компа и держать keepassxc на двух лень, а иногда хочется на втором в браузере залогиниться, тогда держать приложение на смартфоне удобнее. Или если в браузере смартфона, пока я в дороге, вдруг запросит подтверждения.

Настроил через KeePassXC.

Я правильно понимаю, что мне БД от KeePassXC придётся распространить на все компы, с которых я собираюсь заходить на Гитхаб?

Угу. Или создать заново аналогичную запись на всех нужных устройствах на основе изначального qr-кода/последовательности.

Хочу оффлайновый, что предложите?
В смысле отдельным и компактным устройством.

Они все «оффлайновые». Соединение нужно только для синхронизации времени самим устройством, так как если времяубежит или отстанет, то код не подойдёт. Либо вручную часы подводить.

Я подумываю попробовать пользоваться «яндекс ключ»

Почему сразу не пойдешь к участковому со списком своих паролей и ключей?

Потому что меня не перестаёт забавлять то, как здесь у многих происходит самовозгорание при упоминании яндекса и мейл.ру.

Это не говоря о том, что это не приложение для хранение паролей, а только для генерации одноразовых паролей OTP. Оно даже резервную копию само не делает.

А участковому ты даже даром не сдался.

Потому что меня не перестаёт забавлять то, как здесь у многих происходит самовозгорание при упоминании яндекса и мейл.ру.

А меня не перестает забавлять то, что некоторые воспринимают ошибку выжившего как нерушимое правило.

https://meduza.io/news/2016/04/29/mts-otklyuchil-oppozitsioneram-sms-servis-vo-vremya-vzloma-ih-telegram

А участковому ты даже даром не сдался.

До тех пор пока не понадобился.