GITHUB wird zu kompliziert.

[m.fuchs]

Das funktioniert auch nicht, dann benutzen Leute entweder schwache vielstellige Passwörter (z.B. einfach Namen von Familienmitgliedern aneinander gereiht),

Was ist schwach und was ist stark?

xkcd-correct-horse-battery-staple-password-strength.png (105.9 KiB) 2794 mal betrachtet

[Warf]

Was ist schwach und was ist stark?

xkcd-correct-horse-battery-staple-password-strength.png

Das wurde tatsächlich für einige Zeit geraten einfach statt Passwörtern solche Phrasen zu verwenden. Hat sich in der Praxis aber auch nicht als nützlich rausgestellt, da Leute trozdem einfach zu erratende Passphrasen benutzt haben (z.B. Namen von Kindern aneinandergehängt). Deshalb wird das nicht mehr empfohlen.

Das Problem ist einfach, das das Konzept Passwort fundamental ungeeignet ist, weil wir Menschen einfach dazu tendieren Passwörter zu benutzen die wir uns einfach Merken können, und was man sich einfach merken kann, das ist auch einfach zu erraten.

Das einzige was wirklich hilft ist ein gutes zufällig generiertes Passwort mit dem man einen Passwortmanager betreibt, der dann für jeden dienst ein eigenes, langes und zufälliges Passwort speichert. Das ist übrigens gleichzeitig auch 2FA, weil man 1. das Masterpasswort für den Passwortmanager braucht (Wissensfaktor) und 2. die Passwortdatenbank (Besitzfaktor).

Also auch hier wieder, die einzige Lösung die wir gefunden haben mit denen man Passwörter sicher machen kann ist einfach passwörter hinter 2FA zu Verschließen.
Wie man es auch dreht und wendet, um 2FA kommt man nicht drum rum

[Mathias]

Was mir in den letzten Jahren aufgefallen ist, die Bedienung der Computer wird immer komplizierter.
Ab Ca. Jahr 2000, ging alles wieder bergab, was bis dann immer einfacher wurde.
Gutes Beispiel Windows, mit win2k war der Höhepunkt erreicht, das selbe mit M$-Office, Ab da wurde jeder Version komplizierter und unübersichtlicher.
Auch Banksachen und Steuererklärung war vor ein paar Jahren recht simpel, jetzt geht es nur noch Bach ab.

Aber es gibt zum Glück Ausnahmen, da gehört auch Lazarus dazu, das wird auch gegenwärtig immer besser.

[PascalDragon]

Diese Microschrott Zeugs regt mich immer mehr auf. Wollen die nicht auch bei Windoof die Lizenzbedingung im September ändern ?

Das hat nichts mit Microsoft zu tun, auch andere nutzen 2FA. Konkrete Beispiele, die ich selbst nutze: PayPal, Twitch, und Nintendo (der Web Account).

Das einzige was wirklich hilft ist ein gutes zufällig generiertes Passwort mit dem man einen Passwortmanager betreibt, der dann für jeden dienst ein eigenes, langes und zufälliges Passwort speichert. Das ist übrigens gleichzeitig auch 2FA, weil man 1. das Masterpasswort für den Passwortmanager braucht (Wissensfaktor) und 2. die Passwortdatenbank (Besitzfaktor).

Das ist genau der Ansatz, den ich fahre.

[Mathias]

Das hat nichts mit Microsoft zu tun, auch andere nutzen 2FA. Konkrete Beispiele, die ich selbst nutze: PayPal, Twitch, und Nintendo (der Web Account).

Anscheinend bei der Sony PS4 noch nicht.
M$ hat sicher bei der Erfindung von 2FA die Finger drinnen gehabt, genau so wie bei dem EFI-Müll.

[PascalDragon]

M$ hat sicher bei der Erfindung von 2FA die Finger drinnen gehabt, genau so wie bei dem EFI-Müll.

EFI ist eine massive Verbesserung im Vergleich zum BIOS und stellt den Bootvorgang auf standardisierte Füße, statt Dinge, die sich halt so entwickelt haben. Noch dazu musst du dich auch nicht mehr darum kümmern die CPU in den 64-Bit Modus zu bringen, da das UEFI dich bereits in dem Modus startet.

[Mathias]

Noch dazu musst du dich auch nicht mehr darum kümmern die CPU in den 64-Bit Modus zu bringen, da das UEFI dich bereits in dem Modus startet.

Macht dies nicht das OS sobald es bootet.
Ich dachte immer der PC startet erst im Real-Modus und das OS schaltet in erst in den Protectet-Mode, egal ob 32 oder 64Bit.
Anscheinend habe ich da etwas verpasst ?

[Mathias]

Also hier mal eine Kurzanleitung aus meiner Erinnerung, wie das bei mir soweit funktioniert hat auf dem Linux PC mit möglichst wenig Abhängigkeiten.

1. Alles vergessen was da überall steht von Clouds, Telefonnummern, Android Apps, Passwortspeicherprogrammen blablabla...

2. Auf Firefox die Authenticator Erweiterung von mymindstorm installieren.

3. Damit den (oben gezeigten) QR Code scannen und die so erzeugte Nummer des Authenticators in das entsprechende Textfeld eingeben. -> Weiter

4. github-recovery-codes.txt sichern!

Das war's schon, denke ich.

Dann bei Anforderung den Authenticator hervorholen und wieder die erzeugte Nummer eingeben.

Die Authenticator Erweiterung hat bei Einstellungen den Punkt "Sicherung". Damit kann man die Einstellungen auf ein zweites Gerät/Browser exportieren.

Ich weiss natürlich nicht, ob da noch ein Problem nachkommt, aber so komme ich jedenfalls auf zwei Gerätem rein und "Two-factor authentication" in den "Einstellungen" schaut zufrieden aus.

Wenn es jemand besser weiss: Immer her damit!

Viel Glück!

So habe die jetzt auch gemacht.
Jetzt ist die gekommen:
Die Zwei-Faktor-Authentifizierung (2FA) ist jetzt für Ihr GitHub-Konto aktiviert

Und folgende Datei habe ich bekommen: github-recovery-codes.txt

Mal gucken wie es weiter geht.

Nur die Frage, was passieret, wen man den PC neu aufsetzt ?

[theo]

Nur die Frage, was passieret, wen man den PC neu aufsetzt ?

Habe ich ja geschrieben. Wenn du weiterhin die Authenticator Erweiterung von mymindstorm verwendest, kannst du die im Punkt "Sicherung" gespeicherten Daten wieder importieren.

Schlimmstenfalls wird man wohl auch auf die github-recovery-codes zurückgreifen können, das habe ich nicht ausprobiert. Diese würde ich noch auf einem USB-Stick oder so sichern.

[af0815]

Schlimmstenfalls wird man wohl auch auf die github-recovery-codes zurückgreifen können, das habe ich nicht ausprobiert. Diese würde ich noch auf einem USB-Stick oder so sichern.

Hinweis: Die sind ganz wichtig - wenn du den PC/Mobile/Gerät/App neu aufsetzt oder löscht brauchst du die Codes, ansonsten ist dein Account und somit alle Repos für dich verloren. Es gibt keine Möglichkeit das Konto ohne die Codes zu reaktivieren. Umgekehrt, kann ein jeder dem die Codes in die Hände fallen dein Konto kapern und dich ausschließen.

Ich habe die in einer speziellen Sicherung auf Festplatte (Festplatten leben sehr lange ohne Probleme, mit USB-Sticks habe ich schon so meine Probleme gehabt) und auch ausgedruckt bei meinem persönlichen Dokumenten.

[theo]

Ja gut, aber so lange wie man rein kommt, kann man sie sich auch wieder anzeigen lassen in den "Settings".
Es ist nicht so, dass es nur diese eine Gelegenheit beim Erstellen der 2FA gibt.
Ich habe den Zugang eh auf mehreren Geräten eingerichtet.

Und sonst muss halt jeder nach seiner Situation entscheiden, wie wichtig das ist.
Meine Existenz hängt nicht an diesem Github Account und die Quellcodes könnte ich ja immer noch herunterladen, selbst wenn ich keinen 2FA Zugang mehr hätte.

Es gibt Schlimmeres.

[af0815]

Meine Existenz hängt nicht an diesem Github Account und die Quellcodes könnte ich ja immer noch herunterladen, selbst wenn ich keinen 2FA Zugang mehr hätte.

Das geht ja noch bei öffentlichen Repos. Ich habe aber zB. private Repos, die sind dann verloren. Man sollte sich das nur im Hinterkopf behalten. Wenn du beruflich auch noch damit zu tun hast, so kann das schon ins Auge gehen, wenn man da gedankenlos ist.

Theo, mir ist schon klar, das Github/Gitlab nicht deine große Liebe ist

[theo]

Theo, mir ist schon klar, das Github/Gitlab nicht deine große Liebe ist

Das könnte schon sein!

Vor allem Frage ich mich, warum solche Änderungen immer so umständlich und weitschweifig beschrieben sein müssen (Auch bei Google, Facebook etc. im Developer Bereich).

Offenbar hat es Mathias auch erst nach meiner "Dummy-Anleitung" geschafft.

Ich bin ja bereit, die Schritte nachzuvollziehen, wenn Github das so möchte, aber dann sollen sie doch Step-by-step Anleitungen für die verschiedenen Möglichkeiten bereitstellen.
Ich bin nicht bereit, mich länger in das jeweilige von denen geschaffene "Problem" einzulesen und dann trotzdem einen Weg mit trial&error herausfinden zu müssen.

Mein subjektives Sicherheitsgefühl ist auch nicht gerade besser geworden.
Jetzt habe ich noch eine "Erweiterung" mitlaufen, die auf alle Webseiten zugreifen kann und von der bei Firefox steht:
"Dieses Add-on wird von Mozilla nicht aktiv auf seine Sicherheit überwacht. Stellen Sie sicher, dass Sie ihm vertrauen, bevor Sie es installieren."

Super!
Augenwischerei, das Ganze?

[af0815]

Github und die anderen wollten es ja auch nicht so. Aber es hat da ein paar Böse gegeben die relativ einfach an die Zugangsdaten gekommen sind und in verbreiteten Repos ganz einfach getarnte Schadsoftware eingebracht haben. Noch dazu hat es ungeschickte Programmiere gegeben, die die Zugangsdaten ganz einfach in Repros hineingebracht haben. Von dort sind die extrahiert worden, teilweise nur von Sicherheitsforschern die dahinter gekommen sind, aber auch von anderen.

Es ist der alte Kampf "Gut gegen Böse" wobei ich mir manchmal nicht so sicher bin, wer was ist. Erinnert mich an den guten alten Western "The good, the bad and the ugly". Da kann man sich auch Fragen ob der 'Gute' auch so wirklich der Gute ist.

[Mathias]

Schlimmstenfalls wird man wohl auch auf die github-recovery-codes zurückgreifen können, das habe ich nicht ausprobiert. Diese würde ich noch auf einem USB-Stick oder so sichern.

Hinweis: Die sind ganz wichtig - wenn du den PC/Mobile/Gerät/App neu aufsetzt oder löscht brauchst du die Codes, ansonsten ist dein Account und somit alle Repos für dich verloren. Es gibt keine Möglichkeit das Konto ohne die Codes zu reaktivieren. Umgekehrt, kann ein jeder dem die Codes in die Hände fallen dein Konto kapern und dich ausschließen.

Ich habe die in einer speziellen Sicherung auf Festplatte (Festplatten leben sehr lange ohne Probleme, mit USB-Sticks habe ich schon so meine Probleme gehabt) und auch ausgedruckt bei meinem persönlichen Dokumenten.

Wen ich es richtig verstehe, muss ich die Datei "github-recovery-codes.txt" horten wie mein Augenapfel ?
Oder braucht es sonst noch etwas ?