forum.opennet.ru - "PyPI переходит на обязательную двухфакторную аутентификацию " (131)

"PyPI переходит на обязательную двухфакторную аутентификацию "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
Сообщение от opennews (?), 26-Май-23, 08:49
Разработчики репозитория Python-пакетов PyPI (Python Package Index) объявили о решении перевести все учётные записи пользователей, сопровождающих хотя бы один проект или входящих в курирующие пакеты организации, на обязательное применение двухфакторной аутентификации. Перевод планируют завершить до конца 2023 года. До намеченного срока будет проведено поэтапное ограничение доступной функциональности для разработчиков, не включивших двухфакторную аутентификацию. Кроме того, для отдельных категорий пользователей требование включения двухфакторной аутентификации будет применено заранее... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59198
Ответить \| Правка \| Cообщить модератору

Оглавление

объясните пж нубику чонетак с PGP и почему пипа от него отказались, ДМИТРИЙ НАГИЕВ (?), 08:49 , 26-Май-23, (1)

Неосилили, скорее всего Там действительно есть сложности для того, кто хочет про, Stanislavvv (?), 08:55 , 26-Май-23, (6)

Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых , Жироватт (ok), 08:58 , 26-Май-23, (8) –15

Читайте новость внимательней - там всякие TOTP и токены, т е никаких сторонних , Stanislavvv (?), 09:00 , 26-Май-23, (9) +4

Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзер, Жироватт (ok), 09:06 , 26-Май-23, (12) –12

either with a security device preferred or an authentication app по ссылке из , Stanislavvv (?), 09:10 , 26-Май-23, (14) –1

Читай мой пост выше В анонсе можно написать что угодно - как это будет сделано в, Жироватт (ok), 09:18 , 26-Май-23, (16) –2

Ну перенесут сроки и что от этого изменится , Аноним (18), 09:48 , 26-Май-23, (18) +1
Там достаточно подключить библиотеку и за пару недель отладить работу Дольше инт, Stanislavvv (?), 09:58 , 26-Май-23, (22)
После того как выпили pgp нет им доверия, через год посмотрим, будет там авториз, анон (?), 16:44 , 26-Май-23, (76)

А до этого, конечно, доверия было хоть отбавляй 29 никому неизвестных ключей и, Аноним (108), 20:46 , 26-Май-23, (108)

Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых, Zakaza (?), 14:32 , 26-Май-23, (62)

Простите великодушно , Zakaza (?), 14:33 , 26-Май-23, (63)
Для того pypi и protonmail подойдёт, если что А вообще, сам по себе TOTP не связ, Stanislavvv (?), 15:14 , 26-Май-23, (69)

Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо втора, Zakaza (?), 20:04 , 26-Май-23, (107)

Про почту - сойдёт любая, могущая _принять_ письмо от сервиса Отправлять не обя, Stanislavvv (?), 08:26 , 27-Май-23, (123)
oathtool не требует, Аноним (131), 18:07 , 27-Май-23, (131)

Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентифика, Аноним (60), 14:25 , 26-Май-23, (60)

Слишком децентрализованный для нынешнего поколения , Аноним (7), 08:56 , 26-Май-23, (7)
PGP делали люди для людей Есть УЦ, есть пользователи, есть их ключи, есть пулы , Жироватт (ok), 09:01 , 26-Май-23, (10)

Ты все перепутал, в PGP Web Of Trust Есть серверы ключей, но они ничего не удос, Аноним (20), 09:55 , 26-Май-23, (20) +1

WOT с определённой долей достоверности таки удостоверяет https www linux org , Аноним (38), 11:25 , 26-Май-23, (38)

Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг, Аноним (20), 12:58 , 26-Май-23, (46)

Принципиальная ненадежность , Аноним (18), 16:07 , 26-Май-23, (72)
Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и п, Аноним (125), 13:10 , 27-Май-23, (125)

А что токены удостоверяют Как любой рандомный пассажир мог нагенерить себе ключ, Заместитель эксперта (?), 14:40 , 26-Май-23, (65)

скатится или нет это будем смотретьа вот то что PGP это корявые костыли это видн, annonn_2 (?), 17:15 , 26-Май-23, (79)

В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостовер, Аноним (130), 17:17 , 27-Май-23, (130)

Чтобы начать пользоваться PGP надо сгенерить себе ключ Долверять ли этому ключу, Аноним (-), 20:21 , 29-Май-23, (154)

Как ты навалишь в репу TOTP пароль, который действителен 30 секунд , Аноним (90), 17:57 , 26-Май-23, (90) –2
Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его ис, Аноним (113), 23:57 , 26-Май-23, (113) –1

Ну и почему он людям не нужен тогда , Сынакорзина (?), 10:06 , 26-Май-23, (23)

Людям PGP - нужен Государствам с жидомасонами, львогазелями - нет После Сноуде, Аноним (38), 11:07 , 26-Май-23, (32) +2

Ахаха, люди для людей Серьезно Скорее отбитые зад ты для таких же отбитых з, Анонин (?), 11:05 , 26-Май-23, (31) –1

Можно, с определённой достоверностью https www opennet ru openforum vsluhforu, Аноним (38), 11:16 , 26-Май-23, (35)

Но вот только никто не знает как именно была проведена проверка Все основано на , Анонин (?), 11:28 , 26-Май-23, (39)

Надо выставлять уровень доверия при подписи чужого ключа Результатом WOT есть не, Аноним (42), 12:12 , 26-Май-23, (42) +1
Ещё 2 графических примера цепочек доверия между ключами https git kernel org p, Аноним (42), 12:22 , 26-Май-23, (43)

Отчаиватся не надо Многие дистрибутивы NIX и проекты разработки свободного ПО , Аноним (49), 13:09 , 26-Май-23, (49)

Еще раз Вопрос не про уровень доверия при подписи чужого ключа А про то наско, Анонин (?), 12:48 , 26-Май-23, (45)

1 Нужно 5 цепочек к ключу Одной цепочки от однокласника Васи маловато Но есл, Аноним (49), 13:19 , 26-Май-23, (50)

То это ничего не значит, т к ты все равно не знаешь, можно ли верить этому 11А,, Аноним (68), 15:13 , 26-Май-23, (68) –1

Значат Вася знает Вову и подписал его ключ Вова знает Вадима и подписал ключ Вад, Аноним (125), 13:19 , 27-Май-23, (126)

потому что мельком видел его на тусовке каких-то фриковили на самом деле нихрена, пох. (?), 16:11 , 27-Май-23, (127)

PGP на для всех подходит Необходимо быть трезвым и аккуратным при проверке Ф И , Аноним (130), 18:07 , 27-Май-23, (132)

нет, надо просто подписать пачку ключей неглядя Рано или поздно твою подпись под, пох. (?), 16:53 , 28-Май-23, (144)
Чем больше цепочек доверия и чем они короче тем выше доверие к ключу PGP довольн, Аноним (160), 07:43 , 03-Июн-23, (160)

А что делать Геннадию, который всех этих людей никогда не видел и не увидит , Аноним (68), 22:34 , 27-Май-23, (136)

Гена хорошо знает Гришу и они обменялись публичными ключами Гриша встретился с В, Аноним (160), 06:55 , 03-Июн-23, (159)

Это всего одна из многих цепочек доверия Есть и другие цепочки доверия Общий у, Аноним (49), 13:37 , 26-Май-23, (54)

Читаем https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-worse-than-u, Аноним (114), 05:48 , 27-Май-23, (114) +1

Вот целая статья https blog yossarian net 2023 05 21 PGP-signatures-on-PyPI-wo, Аноним (21), 09:56 , 26-Май-23, (21)
Потому что Authy, Google Authenticator требуют как минимум твой телефон, им хоче, paranoed (?), 14:29 , 26-Май-23, (61)

TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вы, Аноним (90), 18:01 , 26-Май-23, (91) +1

https www opennet me openforum vsluhforumID3 130586 html n OpenEcho 11, OpenEcho (?), 14:48 , 26-Май-23, (66)

переставлять кровати проще чем чинить протекающую крышу , Аноним (3), 08:53 , 26-Май-23, (3) +4

там крыша была как у поросенка ниф-нифа, ее давно сдуло легким сквознячком , пох. (?), 16:13 , 26-Май-23, (75)
Только вот протекающая крыша у нас - это PGP Его уже лет двадцать никто в здрав, Аноним (114), 05:50 , 27-Май-23, (115)

Т е если разработчик изначально сопровождает свой вредоносный пакет к нему ника, Аноним (18), 09:46 , 26-Май-23, (17)

За ним Пативэн приедет , Аноним (28), 10:48 , 26-Май-23, (28)

Ага и Дед Мороз на Новый Год подарки не подарит , Аноним (18), 11:17 , 26-Май-23, (36)

Где ты в новости увидел текст, из которого это следует , Аноним (90), 14:08 , 26-Май-23, (58) +1

Где ты увидел что они что-то будут делать , Аноним (18), 16:05 , 26-Май-23, (71)

Не разводи клоунаду https www opennet ru opennews art shtml num 59168, Аноним (114), 06:14 , 27-Май-23, (118)

Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакт, Аноним (19), 09:52 , 26-Май-23, (19) +6

Отличная история Типа годами разрабатывать и поддерживать либу на PyPi тебе не , Аноним (21), 10:06 , 26-Май-23, (24) –1

А если он разряжен А если в нем и так куча TOTP-кодов А если TOTP-код будет ва, Аноним (19), 10:12 , 26-Май-23, (25) +2

Ну ёлки - так и пиши, что во время, гм, работы обе руки заняты, чо стесняться-, User (??), 11:01 , 26-Май-23, (30)
Ты это серьезно Шикарные аргументы, чтобы похерить безопасность Чел, не развод, Аноним (90), 14:16 , 26-Май-23, (59) +1

А зачем её защищать от компроментации Оставить sorry my account was hacked , Akteon (?), 10:37 , 26-Май-23, (26)
да, заниматься соврешенно ненужной хренью внезапно может быть лень Ради очередн, пох. (?), 13:24 , 26-Май-23, (51) +1
Защитить от компрометации кем Вы не думали о том, что люди часто делаю либы для , Легивон (?), 19:47 , 26-Май-23, (106) +2

Вполне понимаю реакцию таких людей на попытку диктовать им условия Постольку по, Аноним (114), 00:01 , 28-Май-23, (138) –1

Есть консольные генераторы totp которые можно использовать в юнитах системд или , тотп (?), 11:14 , 26-Май-23, (34) +2

консольные или умеющие именно в скрипты Покажь последний хоть один, друг очень , пох. (?), 13:25 , 26-Май-23, (52) +1

oathtool посмотрите, Stanislavvv (?), 15:25 , 26-Май-23, (70)

о, спасибо, знатная говорящая лягуха, отлично дополнит генератор в Браузере , пох. (?), 16:08 , 26-Май-23, (73)

Ну, вообще-то нет Это все равно двуфакторка, потому что если кто-то узнает твой, Аноним (21), 17:22 , 26-Май-23, (80) +1

вот откуда он его узнает если у тебя не свистнули и не взломали комп она вообще , пох. (?), 18:07 , 26-Май-23, (92)

Блжд, ну в новости же написано в результате утечки учётных данных, использовани, Аноним (102), 19:04 , 26-Май-23, (102)

П-дежь и чушь собачья там написана, ну и что с этого Особенно про методы социаль, пох. (?), 21:50 , 26-Май-23, (110)

Оно https www avangard ru rus private cards card_with_display , Anonymus (?), 20:48 , 27-Май-23, (133)

Не, у этих оно было только для премиум-клиентов не знаю как сейчас, я давно от , пох. (?), 21:38 , 27-Май-23, (134)

Пользуйся хардварным токеном Даже нажимать ничего не нужно, потрогал и лады , Аноним (108), 23:33 , 26-Май-23, (112)

а если я не хочу ради подписывания своего лефтпада платить безумные деньги за ко, пох. (?), 16:12 , 27-Май-23, (128)

Не можешь позволить пару копеек на токен потратить 8212 двигай ручками и гене, Аноним (108), 04:55 , 28-Май-23, (142)

Могу позволить себе просто не ублажать пиписек Не умеют в верификацию пакетов, , пох. (?), 09:07 , 28-Май-23, (143)

Молодец, догадался Именно потребителям она и нужна Без потребителей 100 кода , Аноним (108), 17:29 , 28-Май-23, (145) –1

PS Мну уже годы как усилил таким образом безопасность, привязав github на арен, Akteon (?), 10:43 , 26-Май-23, (27) +2

Скрыто модератором, ivan_erohin (?), 10:54 , 26-Май-23, (29)
PSНекоторые спрашивают какой план Б Локальные репозитории в любом случае оста, Akteon (?), 11:11 , 26-Май-23, (33) +1

Почему бы тогда сразу не разрабатываться локально, зачем что-то выкладывать , Аноним (18), 11:18 , 26-Май-23, (37)

1 Так исторически сложилось2 Там не один github , Akteon (?), 11:46 , 26-Май-23, (41)

все правильно сделал Правда следующая итерация - выпилить нахрен репо и положит, пох. (?), 13:27 , 26-Май-23, (53)

А ссылку то на что давать Хостер однажды забыл прислать мне письмо, я и не запл, n00by (ok), 14:04 , 26-Май-23, (56) –3

ну не будь лохом, пользуй хостера который просто списывает с карты Где взять кар, пох. (?), 16:09 , 26-Май-23, (74)

Карта у меня водилась в то время, и даже имелось полтора банкомата на всю деревн, n00by (ok), 07:58 , 27-Май-23, (122) –1

А ты как локалхостов ру поступай хости у себя под кроватью А сгорит вместе с д, Аноним (108), 17:32 , 28-Май-23, (146)

в целом да, тебе это уже точно будет неважно говорю как краевед, успешно прое , пох. (?), 20:24 , 28-Май-23, (147)

Не мы, а вы Я для себя и детей этот вопрос позитивно решил больше десяти лет то, Аноним (108), 02:37 , 29-Май-23, (151)

тот проект без страны был, увы, бесполезен Он именно местная история - теперь п, пох. (?), 09:57 , 29-Май-23, (152)

Как сказал один пот если где-то что-то зажигают, значит это кому-то нужно В общ, n00by (ok), 09:23 , 30-Май-23, (156) –2

Ну так ты действительно усилил, потому что левый васян, получивший твой пароль, , Аноним (114), 05:54 , 27-Май-23, (116)

Шли бы они нахер со своим PyPI Моя разработка всё актуальнее и актуальнее , Аноним (40), 11:37 , 26-Май-23, (40) +3

Скрыто модератором, anonnnn (?), 12:47 , 26-Май-23, (44)

Скрыто модератором, Аноним (47), 13:01 , 26-Май-23, (47) +1

Все антиюниксовые проекты так или иначе следуют в фарватере корпораций и наследу, Аноним (20), 13:03 , 26-Май-23, (48)

Судя по минусующим жироватого, таки там сейчас фаза ОТРИЦАНИЕ , Dzen Python (ok), 21:33 , 26-Май-23, (109) –1
А почему вы не финансируете митинги и партии во всех странах за свободу от рабст, рабификатор (?), 06:40 , 27-Май-23, (119) –1
Вот где реальная киберсвобода, да , Аноним (140), 00:21 , 28-Май-23, (140) +1

Зачем там двухфактор Почему просто пароля недостаточно Или тут опять повесточка, Аноним (55), 13:48 , 26-Май-23, (55) +1

Новость не читай, комментарий пиши , Аноним (90), 14:06 , 26-Май-23, (57) –2

От взлома жопы разработчика паяльником, пальцев - дверью, благосостояния - щедры, Аноним (47), 14:35 , 26-Май-23, (64) +1

Очевидно, чтобы злоумышленники не получили доступ к пакетам, если узнали пароль , Аноним (21), 17:28 , 26-Май-23, (88)
чтобы тебя вычислять по видеокамерам и заставлять тебя бояться организовывать ми, рабификатор (?), 06:43 , 27-Май-23, (120)

Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок ве, Аноним (77), 17:00 , 26-Май-23, (77) +3

Я предлагаю тебе наконец-то почитать, как работает стандарт TOTP, и не пороть чу, Аноним (21), 17:24 , 26-Май-23, (81) –6
Скрыто модератором, annonn_2 (?), 17:25 , 26-Май-23, (82) –2
тут некто Хэнлон пробегал Бритвой машет Будь очень осторожен , пох. (?), 18:08 , 26-Май-23, (93) –3

Про замедление айфонов эплом ты теперь тоже кидался ненужной конспирологией , д, Аноним (140), 00:22 , 28-Май-23, (141)

Двухвакторку навязывают злонамеренные корпорации чтобы ограблять и обманывать ан, Самый Лучший Гусь (?), 18:48 , 26-Май-23, (96) –1
Например, сопровождающим пакетов Pypi, чтобы не обделаться на весь мир , Аноним (102), 19:06 , 26-Май-23, (103) –2

Скрыто модератором, Аноним (-), 23:21 , 28-Май-23, (150)

Скрыто модератором, YetAnotherOnanym (ok), 18:49 , 26-Май-23, (97) –2

Скрыто модератором, Аноним (114), 06:10 , 27-Май-23, (117)

Скрыто модератором, YetAnotherOnanym (ok), 08:53 , 27-Май-23, (124)

Раньше комитили мусор все подряд, теперь будут комитить мусор все подряд,но с 2х, Профессор (?), 19:02 , 26-Май-23, (101) +5

теперь вы все стали рабами и вам переписали права человека пока вы все были в ст, рабификатор (?), 06:44 , 27-Май-23, (121) +1

Предлагаю им сделать подтверждение личности при регистрации по фотосету дикпиков, Аноним (129), 16:54 , 27-Май-23, (129)

Они как раз начнут соревноваться в генерации дипфэйков дикпиков Впрочем для шту, Аноним (149), 22:55 , 28-Май-23, (149)

Даю лайфхак, опробованный на гитхабе - просто выкладывайте QR код от TOTP в пабл, Аноним (155), 23:18 , 29-Май-23, (155)

Сообщения [Сортировка по времени | RSS]

1. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от ДМИТРИЙ НАГИЕВ (?), 26-Май-23, 08:49

объясните пж нубику чонетак с PGP и почему пипа от него отказались

Ответить | Правка | Наверх | Cообщить модератору

6. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Stanislavvv (?), 26-Май-23, 08:55

Неосилили, скорее всего.
Там действительно есть сложности для того, кто хочет просто фигачить код, а не разбираться, как подписывать коммиты и сверять подписи.
Двухфактора в данном случае - проще, но при этом действительно значительно снизит количество проблем.

Ответить | Правка | Наверх | Cообщить модератору

8. "PyPI переходит на обязательную двухфакторную аутентификацию " –15 +/–

Сообщение от Жироватт (ok), 26-Май-23, 08:58

Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, контракт с которыми - по уже лет 15 в т.н. "цивилизованном мире" лишь по аусвайсу с тучей справок?

Ответить | Правка | Наверх | Cообщить модератору

9. "PyPI переходит на обязательную двухфакторную аутентификацию " +4 +/–

Сообщение от Stanislavvv (?), 26-Май-23, 09:00

> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,
Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних операторов.

Ответить | Правка | Наверх | Cообщить модератору

12. "PyPI переходит на обязательную двухфакторную аутентификацию " –12 +/–

Сообщение от Жироватт (ok), 26-Май-23, 09:06

Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзерских гнойников на камеру - мне реально интересно как оно будет реализовано в проде и не скатится ли до банального "вот вам телефон с смсом, а для особых извращенцев - ТОТР, токены и F2A"

Ответить | Правка | Наверх | Cообщить модератору

14. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Stanislavvv (?), 26-Май-23, 09:10

> Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию
> юзерских гнойников на камеру - мне реально интересно как оно будет
> реализовано в проде и не скатится ли до банального "вот вам
> телефон с смсом, а для особых извращенцев - ТОТР, токены и
> F2A"
either with a security device (preferred) or an authentication app по ссылке из новости.
Думаю, это вполне себе однозначно - никаких смс.

Ответить | Правка | Наверх | Cообщить модератору

16. "PyPI переходит на обязательную двухфакторную аутентификацию " –2 +/–

Сообщение от Жироватт (ok), 26-Май-23, 09:18

Читай мой пост выше.
В анонсе можно написать что угодно - как это будет сделано в столь сжатые сроки отдельный вопрос.

Ответить | Правка | Наверх | Cообщить модератору

18. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (18), 26-Май-23, 09:48

Ну перенесут сроки и что от этого изменится?

Ответить | Правка | Наверх | Cообщить модератору

22. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Stanislavvv (?), 26-Май-23, 09:58

> Читай мой пост выше.
> В анонсе можно написать что угодно - как это будет сделано в
> столь сжатые сроки отдельный вопрос.
Там достаточно подключить библиотеку и за пару недель отладить работу.
Дольше интерфейс удобный делать.
На работе такое уже делали.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

76. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от анон (?), 26-Май-23, 16:44

После того как выпили pgp нет им доверия, через год посмотрим, будет там авторизация по смс или нет

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

108. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (108), 26-Май-23, 20:46

А до этого, конечно, доверия было хоть отбавляй. 29% никому неизвестных ключей и аж целых 0.3% верифицируемо подписанных _файлов_.

Ответить | Правка | Наверх | Cообщить модератору

62. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Zakaza (?), 26-Май-23, 14:32

>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,
> Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних
> операторов.
Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых почт, где просят телефон, дадут всю эту радость жизни получить? Или опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

63. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Zakaza (?), 26-Май-23, 14:33

>>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов,
>> Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних
>> операторов.
> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых
> почт, где просят телефон, дадут всю эту радость жизни получить? Или
> опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!
*Простите великодушно*

Ответить | Правка | Наверх | Cообщить модератору

69. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Stanislavvv (?), 26-Май-23, 15:14

> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых
> почт, где просят телефон, дадут всю эту радость жизни получить? Или
> опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!
Для того pypi и protonmail подойдёт, если что.
А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют там почту в qr-коде - к собственно TOTP отношения не имеет.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

107. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Zakaza (?), 26-Май-23, 20:04

>> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых
>> почт, где просят телефон, дадут всю эту радость жизни получить? Или
>> опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!
> Для того pypi и protonmail подойдёт, если что.
> А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это
> тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют
> там почту в qr-коде - к собственно TOTP отношения не имеет.
Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо вторая почта не от протонов.
В итоге мы должны пропалить какой-нибудь иной почте телефон - раз, чтобы оплатить VPN для обхода блокировки протона спалить реквизиты ещё и банковской карты - два.
На счёт TOTP - так-то оно так, но речь за Authy, Google Authenticator требуют почту для регистрации.
В итоге придут к смс аутентификациям, дело времени.

Ответить | Правка | Наверх | Cообщить модератору

123. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Stanislavvv (?), 27-Май-23, 08:26

Про почту - сойдёт любая, могущая _принять_ письмо от сервиса. Отправлять не обязательно.
Если не нравится использование почты вообще - идите к владельцам pypi и предлагайте альтернативы.
> На счёт TOTP - так-то оно так, но речь за Authy, Google
> Authenticator требуют почту для регистрации.
> В итоге придут к смс аутентификациям, дело времени.
На них свет оконцем сошелся чтоль? Дистрибутивных oathtool и keepassxc недостаточно? Того, что в f-droid тоже недостаточно, обязательно надо в google play лезть?
Вобщем, изучите вопрос, чтоль. Кроме проприетарщины есть ещё и опенсорс.
Что касается смс - TOTP бесплатно, а интеграция с провайдерами стоит денег.

Ответить | Правка | Наверх | Cообщить модератору

131. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (131), 27-Май-23, 18:07

> Authy, Google Authenticator требуют почту для регистрации
oathtool не требует

Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

60. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (60), 26-Май-23, 14:25

> Неосилили, скорее всего.
> Там действительно есть сложности для того, кто хочет просто фигачить код, а
> не разбираться, как подписывать коммиты и сверять подписи.
> Двухфактора в данном случае - проще, но при этом действительно значительно снизит
> количество проблем.
Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентификации это плохо, а васяны с централизованными попрошайками личных данных это хорошо, всё правильно делают, так победят!

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (7), 26-Май-23, 08:56

Слишком децентрализованный для нынешнего поколения

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Жироватт (ok), 26-Май-23, 09:01

PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключ, получив или "Да, есть - Задов Хрен Моржович - Доверен и проверен ТрастУЦ". Настраиваешь - работает.
Потом в_айти пошел поток мути, для которых это СЫЛОЖНА! И что? И всё.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

20. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (20), 26-Май-23, 09:55

Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но они ничего не удостоверяют, просто обменник.

Ответить | Правка | Наверх | Cообщить модератору

38. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (38), 26-Май-23, 11:25

WOT с определённой долей достоверности таки удостоверяет: https://www.linux.org.ru/forum/security/16839105?cid=16840324

Ответить | Правка | Наверх | Cообщить модератору

46. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (20), 26-Май-23, 12:58

Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг.
Участники WOT устанавливают доверие напрямую и ключами обмениваться могут произвольно, не используя серверы ключей. WOT не требует создания инфраструктуры.
Используя инфраструктуру с УЦ вы всегда устанавливаете доверие опосредованно. В этом принципиальное отличие.

Ответить | Правка | Наверх | Cообщить модератору

72. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (18), 26-Май-23, 16:07

Принципиальная ненадежность.

Ответить | Правка | Наверх | Cообщить модератору

125. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (125), 27-Май-23, 13:10

Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и подписями. В роли УЦ в WOT выступает рядовой пользователь, который подписывает ключ однокурсника, сотрудника и загружает эти подписи на сервера ключей.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

65. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Заместитель эксперта (?), 26-Май-23, 14:40

> Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но
> они ничего не удостоверяют, просто обменник.
А что токены удостоверяют? Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать? В чём в этом аспекте принципиальная разница-то? Тут кроме не очень хорошо прикрытой жажды централизовывать, ничего более не видно.
Это промежуточный этап, потому что токены зумеры также не осилят, как и по-человечески работать с цифровыми подписями. И то, это если действительно такой был истинный поинт отказа от PGP, а не банальное желание вольные жопы держать в менее вольном загоне.
Вангую - всё скатится в помойные аутентификации по смс, скриньте этот пост!

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

79. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от annonn_2 (?), 26-Май-23, 17:15

скатится или нет это будем смотреть
а вот то что PGP это корявые костыли это видно уже давно
люди не будут пользоваться тем что не удобно
не хотите сделать удобно значит вас будет 1,5 процент

Ответить | Правка | Наверх | Cообщить модератору

130. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (130), 27-Май-23, 17:17

В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостоверяющим Центром (УЦ) и подписать PGPID публичных ключей нескольких других пользователей PGP.
Перед подписью PGPID необходимо по буквам сверить Ф.И.О. и фото с паспортом, верифицировать контроль над E-mail.
Расскажи как этот пункт сделать удобным. УЦ предполагает требования аккуратности и удобным его не сделаешь.

Ответить | Правка | Наверх | Cообщить модератору

154. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (-), 29-Май-23, 20:21

Чтобы начать пользоваться PGP надо сгенерить себе ключ. Долверять ли этому ключу - на усмотрение того кто получает его публичную часть. Получать ее можно хоть голубиной почтой.
К каким либо именам и фамилиям это никак не относится, их проверка или сопоставление ключу уже организационные мероприятия и это мало чем отличается от вон того.
А еще удобство и безопасность живут по разную сторону улицы. Вон то больше похоже на перехват контроля над толпой у этой самой толпы. Чего глупые хайпанашки с удобством и заслуживают. Сейчас им корпы организуют очень удобную короткую цепь со строгим ошейником.

Ответить | Правка | Наверх | Cообщить модератору

90. "PyPI переходит на обязательную двухфакторную аутентификацию " –2 +/–

Сообщение от Аноним (90), 26-Май-23, 17:57

> Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать?
Как ты навалишь в репу TOTP пароль, который действителен 30 секунд?

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

113. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Аноним (113), 26-Май-23, 23:57

Токены генерятся фактически с ключа, но есть некоторая разница в сценарии его использования. Этот ключ живет заведомо отдельно от компьютера, на котором производятся удостоверяемые операции.
Да, все скатится не просто к смскам, но и к фото с паспортом в руках для наиболее важных с точки зрения црушных кибербезов пакетов.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

23. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Сынакорзина (?), 26-Май-23, 10:06

>PGP делали люди для людей
Ну и почему он людям не нужен тогда?

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

32. "PyPI переходит на обязательную двухфакторную аутентификацию " +2 +/–

Сообщение от Аноним (38), 26-Май-23, 11:07

Людям PGP - нужен. Государствам с жидомасонами, львогазелями - нет. После Сноудена они страх как боятся PGP и его распределённого свойства WOT.
Похерили пару связующих ключей путём переполнения подписей:
https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4
https://www.opennet.ru/openforum/vsluhforumID3/117786.html#61
Чтобы PGP заработал надо кропотливый, многолетний труд множества пользователей OpenPGP во восём мире: https://www.opennet.ru/openforum/vsluhforumID3/130586.html#21

Ответить | Правка | Наверх | Cообщить модератору

31. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Анонин (?), 26-Май-23, 11:05

Ахаха, люди для людей? Серьезно?? Скорее отбитые зад...ты для таких же отбитых зад...тов.
Вот есть ключ Васи, который лежит в каком-то занюханом хранилище, который "верифицировал" Биба и Боба, которые бухали с Васей на каком-то гнутом мероприятии, которых "верифицировали" Пупа и Лупа, которые вообще хз кто, которых ... и т.д.
И Вася говорит - вот мой ключ, мне можно верить!

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

35. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (38), 26-Май-23, 11:16

Можно, с определённой достоверностью: https://www.opennet.ru/openforum/vsluhforumID3/130586.html#41
Аккуратно выставлять уровни доверия к ключам:
  Если это ключ однокурсника, сотрудника, которых паспортные данные Ф.И.О. фото ты 100% знаешь и их E-mail 100% верифицирован - высокий уровень.
  "Бухали на PGP-парти", но первый раз вижу, паспорта не показывали, E-mail не верифицировали, но с их рук получил распечатаный PGP ID c Fingerprint-том ключа - самый низкий уровень доверия.

Ответить | Правка | Наверх | Cообщить модератору

39. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Анонин (?), 26-Май-23, 11:28

Но вот только никто не знает как именно была проведена проверка.
Все основано на доверии к конкретному проверяющему, которого по факту нет.

Ответить | Правка | Наверх | Cообщить модератору

42. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (42), 26-Май-23, 12:12

Надо выставлять уровень доверия при подписи чужого ключа.
Результатом WOT есть несколько цепочек доверия от твоего ключа к интересующему тебя ключу. Если таких цепочек ~5, то уровень достоверности можно считать приемлемым. Меньше 3 цепочек, наверно, сегодня уже не достаточно.
Графический пример 4 цепочек доверия между ключём "Linus Torvalds 79BE3E4300411886" и ключом "Steven Miao 9A2698CDCF8E49C7"
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...
Чем короче путь цепочки (меньше посредников), тем выше доверие.

Ответить | Правка | Наверх | Cообщить модератору

43. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (42), 26-Май-23, 12:22

Ещё 2 графических примера цепочек доверия между ключами:
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...
https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/plain...
В OpenPGP технология WOT работает не быстро. Нужны годы. Студент подпишет ключи однокурсников, закончит ВУЗ пойдёт на работу, подпишет ключи сотрудников, может сменит работу и подпишет ключи сотрудников на другой работе. Через 5-10 лет получится очень хороший Web Of Trust (WOT).

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

49. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (49), 26-Май-23, 13:09

> ... Нужны годы. ...  Через 5-10 лет получится очень хороший Web Of Trust (WOT).
Отчаиватся не надо. Многие дистрибутивы *NIX и проекты разработки свободного ПО поддерживают, достаточно хорошо верифицированные публичные ключи:
ALTLinux https://git.altlinux.org/gears/a/alt-gpgkeys.git?p=alt-gpgke...
ArchLinux https://archlinux.org/master-keys/
https://archlinux.org/people/trusted-users/
https://gitlab.archlinux.org/archlinux/archlinux-keyring/-/t...
Linux kernel https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/...
Gentoo https://www.gentoo.org/inside-gentoo/developers/
https://packages.gentoo.org/categories/sec-keys
Debian https://salsa.debian.org/debian-keyring/keyring/-/tree/maste...
QTox https://github.com/qTox/qTox#gpg-fingerprints
Ищите публичные ключи на официальных сайтах проектов...

Ответить | Правка | Наверх | Cообщить модератору

45. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Анонин (?), 26-Май-23, 12:48

Еще раз. Вопрос не про "уровень доверия при подписи чужого ключа".
А про то насколько вообще можно доверять этому уровню.
Есть какой-то чел, у него есть пара подписей от однокласников и все. Кого бы он не подписывал - его подпись будет ничтожна, даже если эти однокласники проставили ему "мамой клянусь это он!"
> Нужны годы.
И в этом тоже проблема. За годы можно пролюбить приватный ключ кучу раз.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

50. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (49), 26-Май-23, 13:19

1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!!
2. Приватные ключи надо охранять, смотри п.1: https://www.opennet.ru/openforum/vsluhforumID3/130586.html#21
3. После атаки на сервера ключей многие дистры стали распространять OpenPGP ключи через свои репозитории пакетов, например для Gentoo: https://packages.gentoo.org/categories/sec-keys
Смотри пакеты *keyring*, *pgp*, *keys* в репах своего любимого дистра.

Ответить | Правка | Наверх | Cообщить модератору

68. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Аноним (68), 26-Май-23, 15:13

> 1. Нужно ~5 цепочек к ключу. Одной цепочки от однокласника Васи маловато. Но если ключ Васи подписал весь 11А класс и у тебя >5 разных цепочек доверия к ключу Васи?!!
То это ничего не значит, т.к. ты все равно не знаешь, можно ли верить этому 11А, и вообще, "кто все эти люди и существуют ли они на самом деле?" Верить можно только человеку, у которого лично видел его ключ в виде тату, набитой на его же заднице.

Ответить | Правка | Наверх | Cообщить модератору

126. "WoT" +/–

Сообщение от Аноним (125), 27-Май-23, 13:19

Значат!
Вася знает Вову и подписал его ключ.
Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей.
Вася не знает Вадима, но скачал прошу подписанную его ключом.
Вася качал ключ Вадима с серверов ключей. И Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично.
Таким образом Вася может удостоверится в аутентичности и целостности потом скачаной от Вадима.

Ответить | Правка | Наверх | Cообщить модератору

127. "WoT" +/–

Сообщение от пох. (?), 27-Май-23, 16:11

> Вася знает Вову
потому что мельком видел его на тусовке каких-то фриков
> Вова знает Вадима и подписал ключ Вадима, загрузил его на сервера ключей.
или на самом деле нихрена его не знает и подписал стопиццот ключей бухим и укуренным на такой же тусовке, мельком может даже глянув документы, но поскольку был бухой - можно было хоть проездной ему показать.
Вася болел ковидом и на ту тусовку не попал, поэтому не в курсах, а на той первой не наливали, она вообще веганская.
Теперь -
> Вася верит подлинности скачанного ключа Вадима ибо на нем стоит подпись Вовы которого Вася знает лично.
Вася полный лох. Не будь как Вася.
pgp - фееричное г-но именно потому что у него нет понятия "я готов принять этот ключ, здесь и сейчас, потому что у меня есть какие-то мутные но основания полагать, что он все же настоящий, но не в критичной для меня среде и не для подписывания им совсем уже мутных ключей"
Либо доверяешь всем васянам подряд, либо нет.
Правильно сделано - опять у ssh (потому что это Йлонен а не смузихипстерки и не долбанавты из универов) - ключ сам по себе ничего не подтверждает, если его нельзя перепроверить по другому каналу, но вот если второй раз и именно это место внезапно показывает другой - вот это повод бить тревогу.
И больше никак эту криптомусорку использовать просто нельзя.

Ответить | Правка | Наверх | Cообщить модератору

132. "WoT" +/–

Сообщение от Аноним (130), 27-Май-23, 18:07

PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail.
Хоть личная встреча является единственно достоверным источником ключей, можно использовать и другие каналы: крыпточаты, телефонную связь, почту России, ...
Есть вариант использование ключей собранных дистрибутивами *NIX:
https://www.opennet.ru/openforum/vsluhforumID3/130597.html#49
В gnupg есть разные модели верификации ключей:
https://www.gnu.org/server/standards/translations/ru/gnupg/m...

--trust-model {pgp|classic|tofu|tofu+pgp|direct|always|auto}
Установить, какой модели доверия должен следовать GnuPG:
pgp
Сеть доверия, скомбинированная с подписями доверия, как это делается в PGP 5.x и более поздних. Эта модель назначается для новых баз данных доверия по умолчанию.
classic
Стандартная сеть доверия, появившаяся в PGP 2.
tofu
TOFU значит «trust on first use (доверять по первому использованию)». В этой модели ключ, который встречается впервые, запоминается. Если впоследствии другой ключ встречается с идентификатором пользователя с тем же адресом электронной почты, оба ключа помечаются как подозрительные. В этом случае при последующем пользовании любым из этих ключей выводится предупреждение с описанием противоречия, возможной причины (либо пользователь создал новый ключ, не подписав старый ключ новым, а новый старым, либо ключ подделан, либо проводится атака «человек посередине»), и у пользователя запрашивается подтверждение достоверности соответствующего ключа.
Поскольку потенциальный злоумышленник может контролировать адрес электронной почты и тем самым обойти алгоритм обнаружения противоречий, пользуясь адресом электронной почты, который выглядит сходно с доверенным адресом, то при проверке сообщений каждый раз выводится статистика количества сообщений, подписанных этим ключом. Таким образом, пользователь может легко различить атаки, в которых фальшивые ключи выдаются за ключи нормальных корреспондентов.
По сравнению с сетью доверия TOFU предлагает значительно более слабые гарантии безопасности. В частности, TOFU помогает только гарантировать непротиворечивость (то есть что адрес электронной почты связан с одним и тем же ключом). Серьезное преимущество TOFU состоит в том, что для правильного пользования требуется минимум трудозатрат. Чтобы правильно пользоваться сетью доверия, нужно активно подписывать ключи и помечать пользователей как доверенные источники ключей. Эти процедуры требуют много времени, и хрестоматийные свидетельства показывают, что даже осведомленные в вопросах безопасности пользователи редко находят время, чтобы выполнять все это скрупулезно, и вместо этого полагаются на возникающие экспромтом процедуры, подобные TOFU.
В модели TOFU правила связаны с привязкой ключей к адресам электронной почты (которые извлекаются из идентификаторов пользователей и нормализуются). Есть пять правил, которые можно установить вручную параметром --tofu-policy. Исходные правила можно установить параметром --tofu-default-policy.
Существуют правила TOFU: auto, good, unknown, bad и ask. По умолчанию применяется правило auto (если это не изменено параметром --tofu-default-policy), оно помечает привязку как ограниченно доверенную. Правила good, unknown и bad помечают привязку уровнями доверия «полное», «неизвестно» и «никогда» соответственно. Правило unknown полезно, чтобы применять TOFU только для проверки противоречий, но никогда не присваивать положительного доверия. По последнему правилу, ask, уровень доверия привязки запрашивается у пользователя. В пакетном режиме (или если контекст не допускает ввода) пользователь не запрашивается, а возвращается уровень доверия не определено.
tofu+pgp
В этой модели TOFU сочетается с сетью доверия. Уровень доверия вычисляется по каждой из моделей, а затем выбирается максимальный в следующем порядке: неизвестно < неопределенно < ограниченно < полностью < абсолютно < просрочен < никогда.
Если установить --tofu-default-policy=unknown, эту модель можно применять для реализации сети доверия с алгоритмом обнаружения противоречий TOFU, но без назначения этим алгоритмом положительных значений доверия, против чего возражали бы некоторые осведомленные в вопросах безопасности пользователи.
direct
Действительность ключа устанавливается пользователем напрямую, а не вычисляется по сети доверия. Эта модель полностью основана на ключе и не различает идентификаторы пользователя. Обратите внимание, что переход на другую модель доверия значения доверия, присвоенные ключу, трансформируются в значения доверия владельцу, что указывает на то, что вы доверяете владельцу ключа подписывать другие ключи.
always
Пропустить оценку достоверности ключей и полагать, что используемые ключи всегда достоверны. Обычно это используется, только когда есть какая-то внешняя схема оценки. Этот параметр подавляет также вывод метки «[не определено]» при проверке ключей, когда нет свидетельств, что идентификатор пользователя привязан к ключу. Обратите внимание, что эта модель доверия все же не допускает применения просроченных, отозванных или выключенных ключей.
auto
Выбирать модель доверия по тому, что записано во внутренней базе данных доверия. Это делается по умолчанию, когда такая база данных уже существует.
Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
Но есть большое НО: использование PGP требует чтения, понимания документации и соблюдения аккуратности, а это не всем удобно.

Ответить | Правка | Наверх | Cообщить модератору

144. "WoT" +/–

Сообщение от пох. (?), 28-Май-23, 16:53

> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и
> верификации E-mail.
нет, надо просто подписать пачку ключей неглядя.
Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным.
Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт.
> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой.
А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный.
Но этого сделать никто уже не сможет потому что во-первых старперы не дадут, во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения.
Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.

Ответить | Правка | Наверх | Cообщить модератору

160. "WoT" +/–

Сообщение от Аноним (160), 03-Июн-23, 07:43

>> PGP на для всех подходит. Необходимо быть трезвым и аккуратным при проверке Ф.И.О, фото, паспорта и верификации E-mail.
> нет, надо просто подписать пачку ключей неглядя.
> Рано или поздно твою подпись подпишет дурачок в авторитете, и все что ты понаподписывал - станет внезапно-почтидоверенным.
Чем больше цепочек доверия и чем они короче тем выше доверие к ключу.
PGP довольно устойчив к действию злоумышленников. Это проверено временем и множеством БОЛЬШИХ атак.
> Я уж не говорю о том что лично я на ую вертел предъявлять тебе паспорт.
PGP работает в полной мере только при 100% идентификации Ф.И.О и верификации E-mail. Сверка фото и Ф.И.О с паспортом и PGPID даёт хороший результат.
Если ты только конечный пользователь и тебе от PGP надо только верификацию ПО написанного другими, то собирать подписи на своём ключе необязательно и следовательно, в предъявлении своего паспорта необходимости нет. Но как УЦ ты всё равно должен проверять фото и Ф.И.О. с паспорта и верифицировать E-mail тех чьи публичные ключи ты подписываешь.
А вот разработчик, подписывающий своё ПО PGP таки обязан собирать подписи на своём ключе и соответственно проходить верификацию предъявляя паспорт.
>> Можно использовать разные кейринги (хранилища ключей) с разными политиками безопасности для разной работы.
> нельзя. Потому что это не работа а др-во, несовместимое ни с какой серьезной работой.
Так все и делают. Разные пользователи, разные ключи, разные кейринги.
Для исследования PGP WoT всем советую завести отдельного пользователя и кейринг или хотя бы сбекапить свой хомяк, чтобы после экспериментов восстановить.
Любой, с неким уровнем достоверности, может завести нового пользователя, создать свой новый тестовый ключ PGP, скачать пачку "доверительных" ключей https://www.opennet.ru/openforum/vsluhforumID3/130597.html#49 сделать это с разных мест через разных провов с использованием разных VPN. Скачать ключи интересующих людей с серверов ключей PGP, с сайтов проектов. Сверить полученный с разных мест ключи интересующих людей. И подписать, тестовым ключом, выбранные ключи. После этого, с определённым уровнем достоверности, у всех заработает WoT.
> А чтобы это работало - надо всю систему менять, первым делом вышвырнув из нее идиотский механизм подписей подписей подписей, и приделав вместо него репутационный.
Нет. Более надёжного чем криптографическая подпись ничего нет. Уровень доверия (репутацию) к подписываемому ключу в PGP можно выставить.
> Но этого сделать никто уже не сможет потому что во-первых старперы не дадут,
Не дадут, ибо не в серверном ПО ошибка!
> во-вторых не умеют кодить - обос..сь банально поправить баг в серверах своих ключей - ни одного васяна не нашлось владеющего языком на котором они двести лет назад были тяп-ляп наг0вняканы васяном позапрошлого поколения.
Не дадут править серверный код ибо в нём НЕТ ошибки. https://www.opennet.ru/openforum/vsluhforumID3/117786.html#61
> Это все что нужно знать о мертворожденном pgp и тусовке др-ров на него.
Есть проблема в установленных, в PGP ПО лимитах, на обработку количества собранных на одном ключе подписей: https://www.opennet.ru/openforum/vsluhforumID3/117882.html#4 лимит выставлен разумный, человек не сможет за свою жизнь собрать больше подписей. Вот на переполнение этих лимитов на серверах ключей и проводятся атаки спецслужб разных стран.
Эдвард Сновден с помощью PGP и WoT прошел защиту АНБ. Многие государства, включая РФ https://www.linux.org.ru/forum/security/15283293?cid=15285785 негативно относятся к PGP. Подобные атаки на PGP реализуются злонамеренно. И несмотря на жесткое противодействие и вредительство, PGP сегодня работает дальше, но требует аккуратности в использовании.
Всё что надо знать о PGP так это необходимость в его использовании, хотя бы для верификации загружаемого ISO образа вашего дистрибутива!

Ответить | Правка | Наверх | Cообщить модератору

136. "WoT" +/–

Сообщение от Аноним (68), 27-Май-23, 22:34

А что делать Геннадию, который всех этих людей никогда не видел и не увидит?

Ответить | Правка | К родителю #126 | Наверх | Cообщить модератору

159. "WoT" +/–

Сообщение от Аноним (160), 03-Июн-23, 06:55

> А что делать Геннадию, который всех этих людей никогда не видел и не увидит?
Гена хорошо знает Гришу и они обменялись публичными ключами.
Гриша встретился с Вадимом на https://www.opennet.ru/opennews/art.shtml?num=59202 они аккуратно проверили Ф.И.О. фото в паспорте, верифицировали E-mail друг-друга и обменялись публичными ключами.
Гена может, с неким уровнем достоверности, доверять ключу Вадима ибо на нём стоит подпись Гриши и также верифицировать ПО написанное Вадимом.
Если все участники обменивались ключами и подписывали ключи друг-друга то Гена, с некоторым уровнем достоверности, даже может доверять ключу Васи и наоборот Вася, с некоторым уровнем достоверности, верит ключу Гены по цепочке доверия:
Гена <-> Гриша <-> Вадим <-> Вова <-> Вася
Таким образом Гена может переписываться по E-mail с Васей и быть, с некоторым уровнем достоверности, уверенным что нет MitM и их приватную переписку посторонние не читают.
Примеры цепочек доверия:
https://www.opennet.ru/openforum/vsluhforumID3/130597.html#42
https://www.opennet.ru/openforum/vsluhforumID3/130597.html#43

Ответить | Правка | Наверх | Cообщить модератору

54. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (49), 26-Май-23, 13:37

> Кого бы он не подписывал - его подпись будет ничтожна
Это всего одна из многих цепочек доверия. Есть и другие цепочки доверия. Общий уровень доверия к ключу состоит из сумы доверий к каждой цепочки.
Некоторые большие сообщества проводят свои PGP-парти для подписи ключей: https://tracker.debian.org/pkg/signing-party
и собрали немалое сообщество подписаных ключей:
https://salsa.debian.org/debian-keyring/keyring/-/tree/maste...
https://docs.freebsd.org/pgpkeys/pgpkeys.txt

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

114. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (114), 27-Май-23, 05:48

> PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключ
Читаем https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI...:
> A large number of PGP signatures on PyPI can’t be correlated to any well-known PGP key and, of the signatures that can be correlated, many are generated from weak keys or malformed certificates. The results suggest widespread misuse of GPG and other PGP implementations by Python packagers, with said misuse being encouraged by the PGP ecosystem’s poor defaults, opaque and user-hostile interfaces, and outright dangerous recommendations.
PGP во всей красе, люди для людей, ага... Местные эксперты не в курсе, что "PGP is an insecure and outdated ecosystem that hasn’t reflected cryptographic best practices in decades". Им ведь некогда повышать свою компетенцию - они заняты визгом о подлых заговорах проклятых корпораций.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

21. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (21), 26-Май-23, 09:56

> объясните пж нубику чонетак с PGP и почему пипа от него отказались
Вот целая статья:
https://blog.yossarian.net/2023/05/21/PGP-signatures-on-PyPI...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

61. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от paranoed (?), 26-Май-23, 14:29

> объясните пж нубику чонетак с PGP и почему пипа от него отказались
Потому что Authy, Google Authenticator требуют как минимум твой телефон, им хочется побольше вытянуть инфы из пользователей, где, что, когда, откуда, почему, зачем не как. За FreeOTP не в курсе, но неверняка и с ним не всё так просто и какая-то засада есть.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

91. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (90), 26-Май-23, 18:01

TOTP можно использовать хоть на ПК, и через него никакая инфа пользователя не вытягивается.
> За FreeOTP не в курсе, но неверняка и с ним не всё так просто и какая-то засада есть.
Ага, когда везде мерещатся коварные заговоры, здравый  рассудок отдыхает.

Ответить | Правка | Наверх | Cообщить модератору

66. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от OpenEcho (?), 26-Май-23, 14:48

https://www.opennet.me/openforum/vsluhforumID3/130586.html?n...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "PyPI переходит на обязательную двухфакторную аутентификацию " +4 +/–

Сообщение от Аноним (3), 26-Май-23, 08:53

переставлять кровати проще чем чинить протекающую крышу

Ответить | Правка | Наверх | Cообщить модератору

75. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 26-Май-23, 16:13

> переставлять кровати проще чем чинить протекающую крышу
там крыша была как у поросенка ниф-нифа, ее давно сдуло легким сквознячком.

Ответить | Правка | Наверх | Cообщить модератору

115. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (114), 27-Май-23, 05:50

Только вот протекающая крыша у нас - это PGP. Его уже лет двадцать никто в здравом рассудке не использует ради крипты.
https://latacora.micro.blog/2019/07/16/the-pgp-problem.html

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

17. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (18), 26-Май-23, 09:46

Т.е. если разработчик изначально сопровождает свой вредоносный пакет к нему никаких санкций применяться не будет? Ясно, понятно.

Ответить | Правка | Наверх | Cообщить модератору

28. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (28), 26-Май-23, 10:48

За ним Пативэн приедет.

Ответить | Правка | Наверх | Cообщить модератору

36. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (18), 26-Май-23, 11:17

Ага и Дед Мороз на Новый Год подарки не подарит.

Ответить | Правка | Наверх | Cообщить модератору

58. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (90), 26-Май-23, 14:08

> Т.е. если разработчик изначально сопровождает свой вредоносный пакет к нему никаких санкций применяться не будет?
Где ты в новости увидел текст, из которого это следует?

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

71. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (18), 26-Май-23, 16:05

Где ты увидел что они что-то будут делать?

Ответить | Правка | Наверх | Cообщить модератору

118. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (114), 27-Май-23, 06:14

> Где ты увидел что они что-то будут делать?
Не разводи клоунаду.
https://www.opennet.ru/opennews/art.shtml?num=59168
> Репозиторий Python-пакетов PyPI (Python Package Index) временно прекратил регистрацию новых пользователей и проектов. В качестве причины указан всплеск активности злоумышленников, наладивших публикацию пакетов с вредоносным кодом. Отмечается, что с учётом нахождения в отпуске нескольких администраторов, на прошлой неделе объём зарегистрированных вредоносных проектов превысил возможности оставшейся команды

Ответить | Правка | Наверх | Cообщить модератору

19. "PyPI переходит на обязательную двухфакторную аутентификацию " +6 +/–

Сообщение от Аноним (19), 26-Май-23, 09:52

Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакторке, храня и пароль, и TOTP-код на одном и том же устройстве - компуктере с keepassxc. Говорю как тот самый, кого насильно переводили. Мне как-то лень поднимать жопу и тянуться за телефоном. Я думаю, я поступаю верно, потому что это путь наименьшего сопротивления. Если я хочу поднять жопу - я ее подниму тогда, когда это удобно мне, а не когда мне велит кто-то в интернете. Мне тут дела делать надо, а не поднимать жопу, тянуться за телефоном, искать в гугл-аутентикаторе какое-то число и вбивать его в поле ввода. Совершенно не до этого.

Ответить | Правка | Наверх | Cообщить модератору

24. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Аноним (21), 26-Май-23, 10:06

Отличная история. Типа годами разрабатывать и поддерживать либу на PyPi тебе не лень, а потянуться за телефоном, чтобы защитить эту либу от компроментации - уже лень?
> Мне тут дела делать надо, а не поднимать жопу, тянуться за телефоном
Лайфхак: положи телефон рядом.

Ответить | Правка | Наверх | Cообщить модератору

25. "PyPI переходит на обязательную двухфакторную аутентификацию " +2 +/–

Сообщение от Аноним (19), 26-Май-23, 10:12

> Лайфхак: положи телефон рядом.
А если он разряжен? А если в нем и так куча TOTP-кодов? А если TOTP-код будет валиден лишь 5 секунд, и ты точно знаешь, что не успеешь вбить? Сидеть и пялиться на экран 5 секунд и ждать следующих 30 секунд? Согласись, "Скопировать код" и Ctrl-V гораздо быстрее всего этого гемора.

Ответить | Правка | Наверх | Cообщить модератору

30. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от User (??), 26-Май-23, 11:01

Ну ёлки - так и пиши, что во время, гм, "работы" обе руки заняты, чо стесняться-то?

Ответить | Правка | Наверх | Cообщить модератору

59. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (90), 26-Май-23, 14:16

> А если он разряжен? А если в нем и так куча TOTP-кодов? А если TOTP-код будет валиден лишь 5 секунд, и ты точно знаешь, что не успеешь вбить? Сидеть и пялиться на экран 5 секунд и ждать следующих 30 секунд?
Ты это серьезно? Шикарные аргументы, чтобы похерить безопасность. Чел, не разводи цирк: очевидно же, что у тебя на PyPi ровно ноль пакетов, и ответственности ты ни за что не несешь.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

26. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Akteon (?), 26-Май-23, 10:37

А зачем её защищать от компроментации ?? Оставить "sorry my account was hacked" - бесценно.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

51. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от пох. (?), 26-Май-23, 13:24

да, заниматься соврешенно ненужной хренью внезапно может быть лень. Ради очередного лефтпада так точно.
И будет не бесполезный кипас со всеми паролями удобно сложенными кучкой, а вообще пароль в дырявом хранилище браузера и там же левый плагин неизвестных васянов очень удобно прямо в браузере подставляющий и totp.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

106. "PyPI переходит на обязательную двухфакторную аутентификацию " +2 +/–

Сообщение от Легивон (?), 26-Май-23, 19:47

Защитить от компрометации кем?
Вы не думали о том, что люди часто делаю либы для себя и выпускают их в паблик постольку поскольку, потому они от этого ничего не теряют.
Вполне понимаю реакцию таких людей на попытку диктовать им условия.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

138. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Аноним (114), 28-Май-23, 00:01

> выпускают их в паблик постольку поскольку, потому они от этого ничего не теряют.
Вполне понимаю реакцию таких людей на попытку диктовать им условия.
"Постольку поскольку" - это опубликовать сорцы в виде тарбола или репы на Гитхабе, и на этом остановиться. А на PyPi публикуют, чтобы проектом люди пользовались и им было удобно его установить и обновить. Не нравиться условия - не лезь на PyPi и смотри, как твой проект загибается в гордом одиночистве.

Ответить | Правка | Наверх | Cообщить модератору

34. "PyPI переходит на обязательную двухфакторную аутентификацию " +2 +/–

Сообщение от тотп (?), 26-Май-23, 11:14

Есть консольные генераторы totp которые можно использовать в юнитах системд или любых скриптах/ci так все делать и будут. И держать секретный ключ для генерации тотп в репе плайнтекстом)))
Или питонные думают что все их пакеты загружают руками?

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

52. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от пох. (?), 26-Май-23, 13:25

консольные или умеющие именно в скрипты? Покажь последний хоть один, друг очень просит!

Ответить | Правка | Наверх | Cообщить модератору

70. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Stanislavvv (?), 26-Май-23, 15:25

> консольные или умеющие именно в скрипты? Покажь последний хоть один, друг очень
> просит!
oathtool посмотрите

Ответить | Правка | Наверх | Cообщить модератору

73. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 26-Май-23, 16:08

о, спасибо, знатная говорящая лягуха, отлично дополнит генератор в Браузере.

Ответить | Правка | Наверх | Cообщить модератору

80. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (21), 26-Май-23, 17:22

> Если кого-то насильно заставлять делать двухфакторку, то он сведет ее к однофакторке, храня и пароль, и TOTP-код на одном и том же устройстве - компуктере с keepassxc.
Ну, вообще-то нет. Это все равно двуфакторка, потому что если кто-то узнает твой пароль, то не сможет использовать его без TOTP (который и является вторым фактором).
То, что ты хранишь и то, и другое на одном компе - значения не имеет. Если конечно у тебя не свиснули и взломали этот комп. Но это уже не та проблема, которую решает двуфакторка.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

92. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 26-Май-23, 18:07

> Ну, вообще-то нет. Это все равно двуфакторка, потому что если кто-то узнает
> твой пароль
вот откуда он его узнает если у тебя не свистнули и не взломали комп?
> этот комп. Но это уже не та проблема, которую решает двуфакторка.
она вообще никакую проблему не решает. Высосанный из пальца фуфел.
Проблему отчасти могли бы решить полноценные одноразовые пароли, но их в современном мирке не принято. К тому же они никак не помогут в скриптах.

Ответить | Правка | Наверх | Cообщить модератору

102. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (102), 26-Май-23, 19:04

> вот откуда он его узнает если у тебя не свистнули и не взломали комп?
Блжд, ну в новости же написано "в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга". Вот конкретный пример:
https://www.opennet.ru/opennews/art.shtml?num=57242
> она вообще никакую проблему не решает. Высосанный из пальца фуфел.
Да что ты? А в интернет-банкинг ты как логинишся? По одному лишь паролю? В банках десятилетиями назад принудительно ввели двуфакторку. Ибо работают там серьезные дяди, которым даром не нужно, чтобы миллионы домохозяек с паролями 12345 в одночасье ломанулись к ним с воплями о том, что у них свиснули деньги.
> Проблему отчасти могли бы решить полноценные одноразовые пароли, но их в современном мирке не принято.
Чел, второй фактор в двуфакторке - это и сесть одноразовый пароль на определенном устройстве. Только не по дырявому SMS, а по протоколу TOTP.

Ответить | Правка | Наверх | Cообщить модератору

110. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 26-Май-23, 21:50

> Блжд, ну в новости же написано
П-дежь и чушь собачья там написана, ну и что с этого.
Особенно про методы социального инжиниринга расскажи нам - если уж ты такой дятлище, что умудрился выболтать свой заветный пароль - что помешает тебе точно так же сообщить неведомым васянам и код otp (а то и сид вместе с таймером)? Старухи-пенсионерки с легкостью это проделывают. Ты явно не умнее.
> Да что ты? А в интернет-банкинг ты как логинишся? По одному лишь паролю?
да.
sms идиотия везде где можно - отключена к хренам. Включая пару банков из ненаших стран (один из них, кстати, не умеет в sms в принципе, и ненужную 3ds не поддерживает тоже). В том числе потому что не везде есть роуминг.
Где нельзя... есть в РФ один прекрасный (нет) банчок - "Потанькофф", не слышал?
Отключить эту глупость в нем с определенного момента стало невозможно в принципе - зато тебе предлагают... тадам, код из четырех цифр, правда, привязанный к конкретному экземпляру браузера, но сп-ть токен ничего не мешает - он прям в адресной строке. Подсмотреть через плечо, разумеется, тоже гораздо проще чем нормальный пароль. Вот такая забота идиотов об идиотах. Сириозные дяди сидят, с сириозным видом щеки надувают, о безопастносте твоей радеют - жаль что мозгов Б-г им не дал.
А вот нормальный кодогенератор - физическую коробку с кнопками, которую бесполезно красть потому что это только кнопки, батарейка и дисплей, генерит на самом деле чип во вставленной в него банковской карте, естественно, после ввода пина, три попытки и досвидос - умел один-единственный банк в РФ. Но быстро разучился даже для премиальных клиентов. Слишком сложно для .. нет, не клиентов, те валом валили - для банковских сирьиозных щей оказалось поддерживать.
Еще, вроде, умеет საქართველოს ბანკი но это неточно (не исключено что там плохой вариант и коробка с кнопками содержит чип внутри, опять с дурацким totp или еще какой глупостью без пинов и challenge/responce - потому что по умолчанию предлагается приложению на телефон вместо нее)
> Чел, второй фактор в двуфакторке - это и сесть одноразовый пароль на определенном устройстве.
это не одноразовый пароль - для начала totp не одноразовый by design. Это привязка тебя к устройству, знающему и умеющему рассказать много лишнего. Бесполезная, потому что можно создать его клон.
Действительно надежный одноразовый пароль - это вот то что я там выше описал.

Ответить | Правка | Наверх | Cообщить модератору

133. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Anonymus (?), 27-Май-23, 20:48

>А вот нормальный кодогенератор - физическую коробку с кнопками, которую бесполезно красть потому что это только кнопки, батарейка и дисплей, генерит на самом деле чип во вставленной в него банковской карте, естественно, после ввода пина, три попытки и досвидос - умел один-единственный банк в РФ.
Оно?
https://www.avangard.ru/rus/private/cards/card_with_display/

Ответить | Правка | Наверх | Cообщить модератору

134. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 27-Май-23, 21:38

Не, у этих оно было только для премиум-клиентов (не знаю как сейчас, я давно от них ушел, когда даже оплата моего интернета внезапно стала без grace period - это ж надо ТАК е..нуться!)
На мой взгляд оно п-ц неудобное - нахрена было делать это внутри самой карты, совершенно непонятно. Правильно ли сделано - тоже не знаю, может там опять идиотский otp? "Для начала работы с картой с дисплеем необходимо создать код активации, защищающий клиента от несанкционированных операций в случае утраты карты." намекает что таки да.
Нормальные кодогенераторы (причем - для всех) были у ВТБ24 (когда оно еще было 24). Размером тоже с кредитку, но, поскольку кредитка в них просто вставлялась, у разработчиков не было задачи упихаться в неупихyeмые габариты и у тебя не было необходимости таскать в кармане хрупкую хреновину толщиной с обычную карту (а иначе застрянет в банкомате). И, разумеется, challenge-responce а не голый otp. (для чего опять же неплохо бы иметь хотя бы полу-нормальную клавиатуру, а с этого недоразумения, полагаю, максимум пин можно кое-как набрать)
Отдельно забавно было что этих респонсов можно было себе нагенерить заранее и выписать на бумажку - если ты заранее знал что и когда тебе надо делать в будущем, что позволяло в некоторых случаях оставить генератор и карту дома.
Генераторы, разумеется, были не самодельные, и кто-то даже находил того китайца, но, увы, информация сгинула.
(ага,угадай почему мне было интересно)

Ответить | Правка | Наверх | Cообщить модератору

112. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (108), 26-Май-23, 23:33

Пользуйся хардварным токеном. Даже нажимать ничего не нужно, потрогал и лады.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

128. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 27-Май-23, 16:12

а если я не хочу ради подписывания своего лефтпада платить безумные деньги за косоруко спаянную фигню?

Ответить | Правка | Наверх | Cообщить модератору

142. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (108), 28-Май-23, 04:55

Не можешь позволить пару копеек на токен потратить — двигай ручками и генери софтверно. Выше написали чем. Такая жизнь, можешь быть либо ленивым, либо нищим. Впрочем, у тебя и лефтпада никакого нет, ты кодить не умеешь даже на питоне.

Ответить | Правка | Наверх | Cообщить модератору

143. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 28-Май-23, 09:07

Могу позволить себе просто не ублажать пиписек. Не умеют в верификацию пакетов, зато умеют надувать щеки? Ну так хрен им а не пакеты.
История лефтпада ничему никого не научила? Ну что ж, будут повторять.
Если без шитхаба действительно сложно обойтись разработчику не хеловротов, хотя вполне можно обойтись без выкладывания туда реального рабочего репо, то эта помойка - совершенно не нужна самому разработчику, только потребителям.

Ответить | Правка | Наверх | Cообщить модератору

145. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Аноним (108), 28-Май-23, 17:29

> только потребителям
Молодец, догадался. Именно потребителям она и нужна. Без потребителей 100% кода это бесполезные байты. Потребитель в конечном итоге и оплачивает весь этот банкет, напрямую или опосредованно.
Среди айтишников принято с пренебрежением относиться к пользователям, но это и неудивительно: инфантилизм — бич айти. И именно это мы можем наблюдать в комментариях. Все эти горделивые «мне лень тянуться», «хрен им, а не пакеты» и так далее. Никто не заставляет писать, публиковать и пользоваться, скорее даже наоборот, дают понять напрямую: если вы неспособны принять простые правила, ни вы, ни ваш код просто не нужны здесь. Создайте себе свой PyPi и делайте там что угодно. Потребитель сделает свой выбор.

Ответить | Правка | Наверх | Cообщить модератору

27. "PyPI переходит на обязательную двухфакторную аутентификацию " +2 +/–

Сообщение от Akteon (?), 26-Май-23, 10:43

PS Мну уже годы как "усилил" таким образом безопасность, привязав github на арендованный в onlinesim номер.
Тенденцию надо продолжать.

Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором +/–

Сообщение от ivan_erohin (?), 26-Май-23, 10:54

а если арендодатель кинет или вообще исчезнет - что делать ? есть ли план Б ?

Ответить | Правка | Наверх | Cообщить модератору

33. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Akteon (?), 26-Май-23, 11:11

PS
Некоторые спрашивают какой план Б ??
Локальные репозитории в любом случае останутся, ну форкнемся. Это по-любому лучше "попал пацан под санкции"

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

37. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (18), 26-Май-23, 11:18

Почему бы тогда сразу не разрабатываться локально, зачем что-то выкладывать?

Ответить | Правка | Наверх | Cообщить модератору

41. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Akteon (?), 26-Май-23, 11:46

1) Так исторически сложилось
2) Там не один github

Ответить | Правка | Наверх | Cообщить модератору

53. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 26-Май-23, 13:27

все правильно сделал. Правда следующая итерация - выпилить нахрен репо и положить readme.md форсед-пушем - со ссылкой на свой репо. Это оставит возможность играться в лайки-лайки, тем кто без нее не может прислать багрепорт, но избавит от игры по чужим правилам тебя.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

56. "PyPI переходит на обязательную двухфакторную аутентификацию " –3 +/–

Сообщение от n00by (ok), 26-Май-23, 14:04

А ссылку то на что давать? Хостер однажды забыл прислать мне письмо, я и не заплатил.

Ответить | Правка | Наверх | Cообщить модератору

74. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 26-Май-23, 16:09

> А ссылку то на что давать? Хостер однажды забыл прислать мне письмо,
> я и не заплатил.
ну не будь лохом, пользуй хостера который просто списывает с карты.
Где взять карту - ну Сова ж стратег  а не тактик...

Ответить | Правка | Наверх | Cообщить модератору

122. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от n00by (ok), 27-Май-23, 07:58

Карта у меня водилась в то время, и даже имелось полтора банкомата на всю деревню, а вот с хостерами возможны нюансы. Да и что делать с картой, которую по случайному стечению обстоятельств заарбузят, Сова тоже не подскажет. Особенно если владелец совершенно случайно оказывается в больнице. Так что в такой ситуации безопаснее быть лохом, HelloWorld! которого никому не интересен, и к кому не придут домой нелохи, накаченные достижениями медицины и способные сломать головой пару табуретов.

Ответить | Правка | Наверх | Cообщить модератору

146. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (108), 28-Май-23, 17:32

А ты как локалхостов.ру поступай: хости у себя под кроватью. А сгорит вместе с домом — невелика потеря, следующий локалхостов нашлёпает за выходные, интернет и не заметит.

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

147. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 28-Май-23, 20:24

> А сгорит вместе с домом — невелика потеря
в целом да, тебе это уже точно будет неважно.
(говорю как краевед, успешно прое...вший проект который поддерживал десяток лет, причем не свой. Плакать не о чем - мы страну и свою жизнь прое..ли, глупо уже переживать о проектах.)

Ответить | Правка | Наверх | Cообщить модератору

151. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (108), 29-Май-23, 02:37

Не мы, а вы. Я для себя и детей этот вопрос позитивно решил больше десяти лет тому назад.

Ответить | Правка | Наверх | Cообщить модератору

152. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от пох. (?), 29-Май-23, 09:57

> Не мы, а вы. Я для себя и детей этот вопрос позитивно
> решил больше десяти лет тому назад.
тот проект без страны был, увы, бесполезен. Он именно местная история - теперь проклятая и забытая.
Так себе позитивное решение.

Ответить | Правка | Наверх | Cообщить модератору

156. "PyPI переходит на обязательную двухфакторную аутентификацию " –2 +/–

Сообщение от n00by (ok), 30-Май-23, 09:23

> А сгорит вместе с домом — невелика потеря
Как сказал один пот: если где-то что-то зажигают, значит это кому-то нужно.
В общем, довольно сомнительная схема - какой-то дядя качает библиотеки и экономит на охране, а что бы поиметь того дядю, приходят ко мне домой.

Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

116. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (114), 27-Май-23, 05:54

> Мну уже годы как "усилил" таким образом безопасность, привязав github на арендованный в onlinesim номер.
Ну так ты действительно усилил, потому что левый васян, получивший твой пароль, не сможет войти в твой аккаунт. Что не так?

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

40. "PyPI переходит на обязательную двухфакторную аутентификацию " +3 +/–

Сообщение от Аноним (40), 26-Май-23, 11:37

Шли бы они нахер со своим PyPI. Моя разработка всё актуальнее и актуальнее.

Ответить | Правка | Наверх | Cообщить модератору

44. Скрыто модератором +/–

Сообщение от anonnnn (?), 26-Май-23, 12:47

... но никому не нужна?

Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором +1 +/–

Сообщение от Аноним (47), 26-Май-23, 13:01

раз мои проблемы решает - значит нужна.

Ответить | Правка | Наверх | Cообщить модератору

48. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (20), 26-Май-23, 13:03

Все антиюниксовые проекты так или иначе следуют в фарватере корпораций и наследуют их решения. Скажут смс-кой подтвержать пакеты - будете подтверждать смс-кой. Никуда не денетесь. Потом и паспорт покажете на фоне лица, как это было с криптобиржами. Произойдет это, когда в ЦРУ решат, что риски кибербезопасности достаточно высоки, чтобы допускать к коду резидентов из плохих стран, вроде Китая и России.

Ответить | Правка | Наверх | Cообщить модератору

109. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Dzen Python (ok), 26-Май-23, 21:33

Судя по минусующим жироватого, таки там сейчас фаза ОТРИЦАНИЕ.

Ответить | Правка | Наверх | Cообщить модератору

119. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от рабификатор (?), 27-Май-23, 06:40

А почему вы не финансируете митинги и партии во всех странах за свободу от рабства.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

140. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (140), 28-Май-23, 00:21

> вроде Китая и России.
Вот где реальная киберсвобода, да?

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

55. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (55), 26-Май-23, 13:48

Зачем там двухфактор? Почему просто пароля недостаточно?
Или тут опять повесточка по выдавливанию неугодных?

Ответить | Правка | Наверх | Cообщить модератору

57. "PyPI переходит на обязательную двухфакторную аутентификацию " –2 +/–

Сообщение от Аноним (90), 26-Май-23, 14:06

Новость не читай, комментарий пиши?
> обезопасить проекты от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга

Ответить | Правка | Наверх | Cообщить модератору

64. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от Аноним (47), 26-Май-23, 14:35

От взлома жопы разработчика паяльником, пальцев - дверью, благосостояния - щедрыми пожертвованиями с условиями, а головы - отсутствием совести пусть сначала защитят.

Ответить | Правка | Наверх | Cообщить модератору

88. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (21), 26-Май-23, 17:28

> Зачем там двухфактор? Почему просто пароля недостаточно?
Очевидно, чтобы злоумышленники не получили доступ к пакетам, если узнали пароль. В этом как бы весь смысл двуфакторной авторизации.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

120. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от рабификатор (?), 27-Май-23, 06:43

чтобы тебя вычислять по видеокамерам и заставлять тебя бояться организовывать митинг против полиции и властей.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

77. "PyPI переходит на обязательную двухфакторную аутентификацию " +3 +/–

Сообщение от Аноним (77), 26-Май-23, 17:00

Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок везде и всюду? Предлагаю задуматься кому это нужно и для чего.

Ответить | Правка | Наверх | Cообщить модератору

81. "PyPI переходит на обязательную двухфакторную аутентификацию " –6 +/–

Сообщение от Аноним (21), 26-Май-23, 17:24

Я предлагаю тебе наконец-то почитать, как работает стандарт TOTP, и не пороть чушь о заговорах.

Ответить | Правка | Наверх | Cообщить модератору

82. Скрыто модератором –2 +/–

Сообщение от annonn_2 (?), 26-Май-23, 17:25

согласен! можешь задумываться уже прям сейчас

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

93. "PyPI переходит на обязательную двухфакторную аутентификацию " –3 +/–

Сообщение от пох. (?), 26-Май-23, 18:08

> Друзья, а вам не кажется, что слишком кучно пошло с навязыванием двухфакторок
> везде и всюду? Предлагаю задуматься кому это нужно и для чего.
тут некто Хэнлон пробегал. Бритвой машет. Будь очень осторожен.

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

141. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (140), 28-Май-23, 00:22

Про замедление айфонов эплом ты теперь тоже кидался ненужной "конспирологией", да?

Ответить | Правка | Наверх | Cообщить модератору

96. "PyPI переходит на обязательную двухфакторную аутентификацию " –1 +/–

Сообщение от Самый Лучший Гусь (?), 26-Май-23, 18:48

Двухвакторку навязывают злонамеренные корпорации чтобы ограблять и обманывать анонов. Тут даже и думать не надо, все на поверхности лежит

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

103. "PyPI переходит на обязательную двухфакторную аутентификацию " –2 +/–

Сообщение от Аноним (102), 26-Май-23, 19:06

> Предлагаю задуматься кому это нужно и для чего.
Например, сопровождающим пакетов Pypi, чтобы не обделаться на весь мир.

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

150. Скрыто модератором +/–

Сообщение от Аноним (-), 28-Май-23, 23:21

Типа, если потребовать от хипстера с жидким мозгом 2FA, он перестанет быть хипстером с жидким мозгом?

Ответить | Правка | Наверх | Cообщить модератору

97. Скрыто модератором –2 +/–

Сообщение от YetAnotherOnanym (ok), 26-Май-23, 18:49

Пипишники облажавшись с проверкой публикуемых пакетов из-за собственной неспособности переварить поток присылаемого навоза, подумали, и решили нагнуть всех с 2фа. Л - значит "логика".

Ответить | Правка | Наверх | Cообщить модератору

117. Скрыто модератором +/–

Сообщение от Аноним (114), 27-Май-23, 06:10

Ловко ты их раскусил!
А если серьезно, то, если бы ты хоть когда-нибудь работал над реальными проектами, то знал, что делать аудит даже десятка серьезных зависимостей для проекта - эта неподьемная работа, позволить которую могут только большие корпорации, у которых есть и время, и деньги на аудиторов.
> облажавшись с проверкой ...
> решили нагнуть всех с 2фа. Л - значит "логика".
Чел, логика хромает тут у тебя. Если бы ты после публикации ждал пару-тройку месяцев, пока очередь проверки дойдет до твоего пакета - сам бы взвыл. Но у местных экспертов ведь нет пакетов на PyPi, и экспертизы их хватает только на визжание о подлых заговорах корпораций.

Ответить | Правка | Наверх | Cообщить модератору

124. Скрыто модератором +/–

Сообщение от YetAnotherOnanym (ok), 27-Май-23, 08:53

Может быть и взвыл бы. Но при этом, с другой стороны, понимал бы, что из пипи можно брать без опасения притащить к себе каку. А если бы правка пакета, ожидающего проверку, сохраняла бы слот в очереди (а не сбрасывала бы его заново в конец, как иногда бывает), то такое ожидание было бы не так уж тяжело и перенести. Тем более, что политика "признаки тайпсквоттинга в названии - сразу нах" сильно уменьшила бы число подаваемых пакетов со зловредами.

Ответить | Правка | Наверх | Cообщить модератору

101. "PyPI переходит на обязательную двухфакторную аутентификацию " +5 +/–

Сообщение от Профессор (?), 26-Май-23, 19:02

Раньше комитили мусор все подряд, теперь будут комитить мусор все подряд,но с 2х-факторкой. А Питон как был горбухой, так и остался ей.

Ответить | Правка | Наверх | Cообщить модератору

121. "PyPI переходит на обязательную двухфакторную аутентификацию " +1 +/–

Сообщение от рабификатор (?), 27-Май-23, 06:44

теперь вы все стали рабами и вам переписали права человека пока вы все были в страхе от свободы

Ответить | Правка | Наверх | Cообщить модератору

129. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (129), 27-Май-23, 16:54

Предлагаю им сделать подтверждение личности при регистрации по фотосету дикпиков, и при компрометации записи - вываливать всё в открытый доступ. Тогда пароль будут прятать лучше чем заначку от тёщи.

Ответить | Правка | Наверх | Cообщить модератору

149. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (149), 28-Май-23, 22:55

Они как раз начнут соревноваться в генерации дипфэйков дикпиков. Впрочем для штуки называемой пипи это вроде бы даже топично.

Ответить | Правка | Наверх | Cообщить модератору

155. "PyPI переходит на обязательную двухфакторную аутентификацию " +/–

Сообщение от Аноним (155), 29-Май-23, 23:18

Даю лайфхак, опробованный на гитхабе - просто выкладывайте QR код от TOTP в паблик и всё. Нет второго фактора, нет возможности его потерять.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
Сообщение от ДМИТРИЙ НАГИЕВ (?), 26-Май-23, 08:49
объясните пж нубику чонетак с PGP и почему пипа от него отказались
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Stanislavvv (?), 26-Май-23, 08:55
	Неосилили, скорее всего. Там действительно есть сложности для того, кто хочет просто фигачить код, а не разбираться, как подписывать коммиты и сверять подписи. Двухфактора в данном случае - проще, но при этом действительно значительно снизит количество проблем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "PyPI переходит на обязательную двухфакторную аутентификацию "	–15 +/–
	Сообщение от Жироватт (ok), 26-Май-23, 08:58
	Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, контракт с которыми - по уже лет 15 в т.н. "цивилизованном мире" лишь по аусвайсу с тучей справок?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "PyPI переходит на обязательную двухфакторную аутентификацию "	+4 +/–
	Сообщение от Stanislavvv (?), 26-Май-23, 09:00
	> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних операторов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "PyPI переходит на обязательную двухфакторную аутентификацию "	–12 +/–
	Сообщение от Жироватт (ok), 26-Май-23, 09:06
	Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию юзерских гнойников на камеру - мне реально интересно как оно будет реализовано в проде и не скатится ли до банального "вот вам телефон с смсом, а для особых извращенцев - ТОТР, токены и F2A"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "PyPI переходит на обязательную двухфакторную аутентификацию "	–1 +/–
	Сообщение от Stanislavvv (?), 26-Май-23, 09:10
	> Написать в анонсе можно много чего - хоть с аутентификацией по выдавливанию > юзерских гнойников на камеру - мне реально интересно как оно будет > реализовано в проде и не скатится ли до банального "вот вам > телефон с смсом, а для особых извращенцев - ТОТР, токены и > F2A" either with a security device (preferred) or an authentication app по ссылке из новости. Думаю, это вполне себе однозначно - никаких смс.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "PyPI переходит на обязательную двухфакторную аутентификацию "	–2 +/–
	Сообщение от Жироватт (ok), 26-Май-23, 09:18
	Читай мой пост выше. В анонсе можно написать что угодно - как это будет сделано в столь сжатые сроки отдельный вопрос.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
	Сообщение от Аноним (18), 26-Май-23, 09:48
	Ну перенесут сроки и что от этого изменится?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Stanislavvv (?), 26-Май-23, 09:58
	> Читай мой пост выше. > В анонсе можно написать что угодно - как это будет сделано в > столь сжатые сроки отдельный вопрос. Там достаточно подключить библиотеку и за пару недель отладить работу. Дольше интерфейс удобный делать. На работе такое уже делали.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	76. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от анон (?), 26-Май-23, 16:44
	После того как выпили pgp нет им доверия, через год посмотрим, будет там авторизация по смс или нет
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	108. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (108), 26-Май-23, 20:46
	А до этого, конечно, доверия было хоть отбавляй. 29% никому неизвестных ключей и аж целых 0.3% верифицируемо подписанных _файлов_.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Zakaza (?), 26-Май-23, 14:32
	>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, > Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних > операторов. Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых почт, где просят телефон, дадут всю эту радость жизни получить? Или опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?!
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	63. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Zakaza (?), 26-Май-23, 14:33
	>>> Проще за счет выноса верификации пользователя на готовую инфраструктуру сотовых операторов, >> Читайте новость внимательней - там всякие TOTP и токены, т.е. никаких сторонних >> операторов. > Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых > почт, где просят телефон, дадут всю эту радость жизни получить? Или > опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?! Простите великодушно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	69. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Stanislavvv (?), 26-Май-23, 15:14
	> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых > почт, где просят телефон, дадут всю эту радость жизни получить? Или > опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?! Для того pypi и protonmail подойдёт, если что. А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют там почту в qr-коде - к собственно TOTP отношения не имеет.
	Ответить \| Правка \| К родителю #62 \| Наверх \| Cообщить модератору


	107. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Zakaza (?), 26-Май-23, 20:04
	>> Простоти великодушно, а каким образом всякие TOTP и токены вам без мейнстримовых >> почт, где просят телефон, дадут всю эту радость жизни получить? Или >> опять предлагается селфхост, перманентно пребывающий в вечном спамфильтре?! > Для того pypi и protonmail подойдёт, если что. > А вообще, сам по себе TOTP не связан с почтой ВООБЩЕ. Это > тупо набор параметров для алгоритма расчёта чисел. То, что сайты рисуют > там почту в qr-коде - к собственно TOTP отношения не имеет. Да, только вот беда, protonmail заблочен в РФ и для его подтверждения надо вторая почта не от протонов. В итоге мы должны пропалить какой-нибудь иной почте телефон - раз, чтобы оплатить VPN для обхода блокировки протона спалить реквизиты ещё и банковской карты - два. На счёт TOTP - так-то оно так, но речь за Authy, Google Authenticator требуют почту для регистрации. В итоге придут к смс аутентификациям, дело времени.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	123. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Stanislavvv (?), 27-Май-23, 08:26
	Про почту - сойдёт любая, могущая _принять_ письмо от сервиса. Отправлять не обязательно. Если не нравится использование почты вообще - идите к владельцам pypi и предлагайте альтернативы. > На счёт TOTP - так-то оно так, но речь за Authy, Google > Authenticator требуют почту для регистрации. > В итоге придут к смс аутентификациям, дело времени. На них свет оконцем сошелся чтоль? Дистрибутивных oathtool и keepassxc недостаточно? Того, что в f-droid тоже недостаточно, обязательно надо в google play лезть? Вобщем, изучите вопрос, чтоль. Кроме проприетарщины есть ещё и опенсорс. Что касается смс - TOTP бесплатно, а интеграция с провайдерами стоит денег.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	131. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (131), 27-Май-23, 18:07
	> Authy, Google Authenticator требуют почту для регистрации oathtool не требует
	Ответить \| Правка \| К родителю #107 \| Наверх \| Cообщить модератору


	60. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (60), 26-Май-23, 14:25
	> Неосилили, скорее всего. > Там действительно есть сложности для того, кто хочет просто фигачить код, а > не разбираться, как подписывать коммиты и сверять подписи. > Двухфактора в данном случае - проще, но при этом действительно значительно снизит > количество проблем. Да, васяны с цифровыми подписями, которых не загнать в централизацию аутентификации это плохо, а васяны с централизованными попрошайками личных данных это хорошо, всё правильно делают, так победят!
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	7. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (7), 26-Май-23, 08:56
	Слишком децентрализованный для нынешнего поколения
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	10. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Жироватт (ok), 26-Май-23, 09:01
	PGP делали люди для людей. Есть УЦ, есть пользователи, есть их ключи, есть пулы общедоступных серверов, на которых можно поискать неизвестный ключ, получив или "Да, есть - Задов Хрен Моржович - Доверен и проверен ТрастУЦ". Настраиваешь - работает. Потом в_айти пошел поток мути, для которых это СЫЛОЖНА! И что? И всё.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	20. "PyPI переходит на обязательную двухфакторную аутентификацию "	+1 +/–
	Сообщение от Аноним (20), 26-Май-23, 09:55
	Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но они ничего не удостоверяют, просто обменник.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (38), 26-Май-23, 11:25
	WOT с определённой долей достоверности таки удостоверяет: https://www.linux.org.ru/forum/security/16839105?cid=16840324
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (20), 26-Май-23, 12:58
	Забавно конечно, но это незапланированная функциональность, по сути дата-майнинг. Участники WOT устанавливают доверие напрямую и ключами обмениваться могут произвольно, не используя серверы ключей. WOT не требует создания инфраструктуры. Используя инфраструктуру с УЦ вы всегда устанавливаете доверие опосредованно. В этом принципиальное отличие.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	72. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (18), 26-Май-23, 16:07
	Принципиальная ненадежность.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	125. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (125), 27-Май-23, 13:10
	Речь не о УЦ, а о серверах ключей OpenPGP, они помогают обмениваться ключами и подписями. В роли УЦ в WOT выступает рядовой пользователь, который подписывает ключ однокурсника, сотрудника и загружает эти подписи на сервера ключей.
	Ответить \| Правка \| К родителю #46 \| Наверх \| Cообщить модератору


	65. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Заместитель эксперта (?), 26-Май-23, 14:40
	> Ты все перепутал, в PGP Web Of Trust. Есть серверы ключей, но > они ничего не удостоверяют, просто обменник. А что токены удостоверяют? Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать? В чём в этом аспекте принципиальная разница-то? Тут кроме не очень хорошо прикрытой жажды централизовывать, ничего более не видно. Это промежуточный этап, потому что токены зумеры также не осилят, как и по-человечески работать с цифровыми подписями. И то, это если действительно такой был истинный поинт отказа от PGP, а не банальное желание вольные жопы держать в менее вольном загоне. Вангую - всё скатится в помойные аутентификации по смс, скриньте этот пост!
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	79. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от annonn_2 (?), 26-Май-23, 17:15
	скатится или нет это будем смотреть а вот то что PGP это корявые костыли это видно уже давно люди не будут пользоваться тем что не удобно не хотите сделать удобно значит вас будет 1,5 процент
	Ответить \| Правка \| Наверх \| Cообщить модератору


	130. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (130), 27-Май-23, 17:17
	В PGP каждый пользователь, чтобы начать пользоваться PGP, должен стать Удостоверяющим Центром (УЦ) и подписать PGPID публичных ключей нескольких других пользователей PGP. Перед подписью PGPID необходимо по буквам сверить Ф.И.О. и фото с паспортом, верифицировать контроль над E-mail. Расскажи как этот пункт сделать удобным. УЦ предполагает требования аккуратности и удобным его не сделаешь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	154. "PyPI переходит на обязательную двухфакторную аутентификацию "	+/–
	Сообщение от Аноним (-), 29-Май-23, 20:21
	Чтобы начать пользоваться PGP надо сгенерить себе ключ. Долверять ли этому ключу - на усмотрение того кто получает его публичную часть. Получать ее можно хоть голубиной почтой. К каким либо именам и фамилиям это никак не относится, их проверка или сопоставление ключу уже организационные мероприятия и это мало чем отличается от вон того. А еще удобство и безопасность живут по разную сторону улицы. Вон то больше похоже на перехват контроля над толпой у этой самой толпы. Чего глупые хайпанашки с удобством и заслуживают. Сейчас им корпы организуют очень удобную короткую цепь со строгим ошейником.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "PyPI переходит на обязательную двухфакторную аутентификацию "	–2 +/–
	Сообщение от Аноним (90), 26-Май-23, 17:57
	> Как любой рандомный пассажир мог нагенерить себе ключей и наваливать всякого в общую репу, так и с токенами такой же рандомный пассажир сможет сделать? Как ты навалишь в репу TOTP пароль, который действителен 30 секунд?
	Ответить \| Правка \| К родителю #65 \| Наверх \| Cообщить модератору