GITHUB wird zu kompliziert.

[af0815]

Du brauchst für die Authentifizierung einen 2ten Faktor, das ist sicher. Es kann ein Authentikator sein, beschränkt auch SMS am Mobile. Alternativ gibt es für Chrome auch im Chromestore einige Erweiterungen.

[theo]

Du brauchst für die Authentifizierung einen 2ten Faktor, das ist sicher. Es kann ein Authentikator sein, beschränkt auch SMS am Mobile. Alternativ gibt es für Chrome auch im Chromestore einige Erweiterungen.

Gibt es denn einen Authentikator, den man vom PC aus nicht mit einem Smartphone/Tel. Nummer verknüpfen muss?

[af0815]

Ich bin bisher nur im Chromestore über solche Erweiterungen gestolpert. Ansonsten ist immer ein mobiles Betriebssystem im Spiel.

Edit: https://www.kaspersky.de/blog/best-auth ... 022/27947/

[Mathias]

Wer eigenen privaten Quellcode hat, der kann sich einen eigenen Server einrichten.
z.B. bei einer Synology Discstation kann man Git, SVN, Mercurial installieren und damit ist der eigene Code ebenfalls ordentlich verwaltet.
Ich habe das und das funktioniert seit vielen Jahren zuverlässig & gut. Ich nutze SVN, als Windows Client den TortuiseSVN. Auf dem Server erstellt man das Repository und ein Login für das Repository, das war's, total einfach.

.... nur mal falls jemand noch nicht daran gedacht hat.

Dies ist schon klar. GITHUB nutz man, wen man sein Quellen veröffentlichen will. Was nützt einem die schönsten Beispiele oder gar Tutorials, wen man nur alleine lokal darauf zugreifen kann. Vieles will man mit der Allgemeinheit teilen.

Gibt es denn einen Authentikator, den man vom PC aus nicht mit einem Smartphone/Tel. Nummer verknüpfen muss?

Genau, Unabhängigkeit von diesen sche*** Mobilgeräten.

Was für Software schreibst du, dass dieses Szenario eine Gefahr wäre? Und warum lagerst du dann solchen Quellcode bei Github?

Es geht mir nicht nur um das bisschen GITHUB, sondern was die meisten sonst noch auf diesen Geräten haben. Bankverbindung, etc.

Für mich ist ein Smartphon eine unzuverlässige Spielkiste mit der mag noch telefonieren kann.
Ich würde auf so einem Gerät auch keine privaten Fotos archivieren. Wie schon gesagt, die Dinger sind schnell geklaut und gehackt.

[theo]

Ich bin bisher nur im Chromestore über solche Erweiterungen gestolpert. Ansonsten ist immer ein mobiles Betriebssystem im Spiel.

Edit: https://www.kaspersky.de/blog/best-auth ... 022/27947/

Danke.
Laut dem Kaspersky Link gibt es nur Authy für Linux und da muss ich meine Tel-Nummer angeben.
Also falls jemand noch einen vernünftigen Vorschlag hat, bin ich ganz Ohr.
Sonst pfeife ich halt auf Github. Ich bin zu alt für diesen Schei...

[af0815]

Na ja, das TOTP Protokoll ist ja RFC. Also kannst du dir mal was bauen https://de.wikipedia.org/wiki/Zwei-Fakt ... ntisierung. Im RFC ist sogar eine Beispielimplentierung in Java enthalten https://de.wikipedia.org/wiki/Time-base ... lgorithmus https://de.wikipedia.org/wiki/Time-base ... lgorithmus

[photor]

…
Sonst pfeife ich halt auf Github. Ich bin zu alt für diesen Schei...

Vielleicht als Alternative zu Github: https://codeberg.org/?

Disclaimer: habe es selber noch nicht ausprobiert, kenne aber Leute, die Codeberg nutzen.

Ciao,
Photor

[theo]

Na ja, das TOTP Protokoll ist ja RFC. Also kannst du dir mal was bauen https://de.wikipedia.org/wiki/Zwei-Faktor-

Danke, ich will aber nichts bauen. Mich interessiert das überhaupt nicht.
Ich hätte gerne eine Auswahl, ob ich 2FA haben möchte oder "unsicher" weiter machen möchte wie bisher.
Da würde ich dann "unsicher" anklicken und gut...

Vielleicht als Alternative zu Github: https://codeberg.org/?

Danke!

[theo]

ich habe jetzt mal einen auf doof gemacht und einfach in Firefox die erstbeste Authenticator Erweiterung installiert.
Danach ging es irgendwie weiter auf Github. Ich habe dann "github-recovery-codes.txt" zum Download bekommen.
Jetzt zeigt mir Github, dass die Two-factor authentication "Enabled" sei.
Ohne Telefonpipapo.

War's das jetzt?

2faff.png (149.73 KiB) 2679 mal betrachtet

[Warf]

Danke, ich will aber nichts bauen. Mich interessiert das überhaupt nicht.
Ich hätte gerne eine Auswahl, ob ich 2FA haben möchte oder "unsicher" weiter machen möchte wie bisher.
Da würde ich dann "unsicher" anklicken und gut...

Das Problem ist, das das nicht funktioniert. Wenn Nutzer die Wahl haben zwischen mehr Sicherheit oder kein Aufwand, wird immer der wenige Aufwand gewählt. 2FA wird nur benötigt, weil Leute keine Starken Passwörter wählen, weil das ihnen zu kompliziert ist. Dann Willentlich 2FA zu erlauben wird etwa genauso viel Erfolgt haben wie die Nutzer zu bitten bessere Passwörter zu nehmen.

Und mit schlechter Sicherheit schadest du ja nicht nur dir selbst. Angreifer benutzen deine Online Präsenz um damit noch mehr Ziele Anzugreifen. Bei Github explizit, sagen wir mal du hast ein Projekt das von 100 Leuten benutzt wird. Wenn ein Hacker jetzt dein Account hackt, hat er ja nicht nur deinen Account, sondern kann Malware in deinen Code einspielen und hat damit 100 Leute infiziert.
Was auch beliebt ist ist kleinere "unbedeutendere" accounts zu hacken, um damit dann größere Scams zu liken, kommentieren, etc. damit die Seriöser wirken, und mehr Leute drauf reinfallen. Github z.B. kategorisiert Stars nach wahrscheinlichkeit das es eine echte Person ist. Stars von vermutlichen Bots werden den Nutzern gar nicht gezeigt, Stars bei denen es nicht ganz klar ist werden zwar gezeigt, aber bei Suchen weniger gewichtet, und Stars die von vermutlich echten Accounts kommen (also accounts die regelmäßig code pushen, issues öffnen, etc.) werden sehr stark gewertet.
Somit werden gehackte accounts von echten entwicklern verwendet um entweder Projekte für Geld zu Liken, was jetzt nicht so schlimm ist, aber auch um Betrugsmaschen zu liken und denen damit eine gewisse Vertrauenswürdigkeit zu geben, und die in Suchen und auf Startseiten hochzupushen.

Die Sicherheit deines Accounts betrifft nicht nur dich. Jeder der infiziert wird weil er deinen Code verwendet, und jeder der auf eine Betrugsmasche reinfällt die durch dein gehacktes Konto seriöser wirkt, geht auf deine Kappe, weil du deine Accountsicherheit nicht ernst nimmst.

Das gesagt, die Maßnahmen die da verwendet werden sind natürlich auch nicht sonderlich ausgefeilt. Wenn ich es schaffe von jemanden das Passwort zu Phishen, bekomm ich auch die Telefonnummer oder einen OTP code gephished. Diese 2FA implementierungen schützen nicht vor motivierten Angreifern die es auf dich abgesehen haben. Sie bieten lediglich einen sehr Grundlegenden allgemeinen Schutz gegen massenangriffe. Das Ziel ist es nicht dich explizit zu schützen, sondern einfach nur Statistisch genug Angriffe zu verhindern um alle Nutzer zu schützen.

Von daher bin ich auch kein Fan von diesen 2FA methoden, denn sie sind eigentlich ziemlich Nutzlos wenn ein Angreifer es wirklich drauf anlegen

[af0815]

ich habe jetzt mal einen auf doof gemacht und einfach in Firefox die erstbeste Authenticator Erweiterung installiert.
Danach ging es irgendwie weiter auf Github. Ich habe dann "github-recovery-codes.txt" zum Download bekommen.
Jetzt zeigt mir Github, dass die Two-factor authentication "Enabled" sei.
Ohne Telefonpipapo.

War's das jetzt?

Ja, eigetlich schon. Wenn du dich wieder bei Github (oder woanders) anmeldest, brauchst du dann den PC mit der 2FA Lösung.

Ganz wichtig ist, die Recovery-Codes wirklich sicher wo unterzubringen. Weil, wenn du jetzt die 2FA Quelle verlierst zB. Firefox mit der Erweiterung abkackt, sieht es schlecht mit der Authentifizierung aus. Dein Repository ist dann nicht mehr entsperrbar. Ich habe die Codes bei mir ausgedruckt + USBSTick hinterlegt und das ganze an einen sicheren Platz verwahrt. Die behandle ich genauso wie das Backup meiner ganzen Fotos etc. also sicher, feuergeschützt an einen anderen Ort (physisch und nicht in einer unsicheren Cloud).

[theo]

@Warf: Danke!

War's das jetzt?

Ja, eigetlich schon. Wenn du dich wieder bei Github (oder woanders) anmeldest, brauchst du dann den PC mit der 2FA Lösung.

Danke!
Gut, aber warum steht das da nicht so geschrieben, dass man es versteht?
"Mach das, dann mach das und dann fertig!"
Warum müssen wir hier einen 3-Seitigen Thread führen deswegen, wo ich dann immer noch selber per trial and error herausfinden muss, wie das geht?

Bei Google und Facebook etc. ist es auch so. Immer wenn was neues kommt im Developer Bereich gibt es tausend Seiten Blabla, aber nirgends steht, was du tun musst. Manchmal findet man das dann auf einer externen Seite auf drei Zeilen.
Das habe ich noch nie verstanden.
Wer will und kann sich schon stundenlang und ausführlich mit aufgezwungenen Veränderungen befassen?

[Mathias]

Das Problem ist, das das nicht funktioniert. Wenn Nutzer die Wahl haben zwischen mehr Sicherheit oder kein Aufwand, wird immer der wenige Aufwand gewählt. 2FA wird nur benötigt, weil Leute keine Starken Passwörter wählen, weil das ihnen zu kompliziert ist. Dann Willentlich 2FA zu erlauben wird etwa genauso viel Erfolgt haben wie die Nutzer zu bitten bessere Passwörter zu nehmen.

Wen es nur das wäre, könnten sie einem aufzwingen ein 20stelliges Passwort zu verwenden und fertig.
Und dann noch wie in Linux der 3sek. Takt wie in Linux einbauen und es ging Jahre bis das PW geknackt ist. Siehe auch hier: viewtopic.php?f=13&t=9260&hilit=passwort

Gut, aber warum steht das da nicht so geschrieben, dass man es versteht?

Genau, wen man noch verstehen würde um was es geht.

So nebenbei was macht man, wen man die 2FA eingerichtet hat und einem das Handy abkratzt oder geklaut wird ?
Dann ist fertig mit SMS Empfang.
Da gleiche Problem bei Banksachen, dann ist fertig mit bezahlen.
Ich vermute mal, der ganze 2FA Mist ist sicher wieder eine Erfindung von M$.

[Warf]

Wen es nur das wäre, könnten sie einem aufzwingen ein 20stelliges Passwort zu verwenden und fertig.
Und dann noch wie in Linux der 3sek. Takt wie in Linux einbauen und es ging Jahre bis das PW geknackt ist. Siehe auch hier: viewtopic.php?f=13&t=9260&hilit=passwort

Das funktioniert auch nicht, dann benutzen Leute entweder schwache vielstellige Passwörter (z.B. einfach Namen von Familienmitgliedern aneinander gereiht), oder benutzen für jeden login die "Passwort Vergessen" funktion. Außerdem wäre der Aufschrei dann größer als 2FA benutzen zu müssen.

2FA is schlicht weg das einzige Verfahren was bisher in der Praxis wirklich funktioniert hat.

[theo]

Also hier mal eine Kurzanleitung aus meiner Erinnerung, wie das bei mir soweit funktioniert hat auf dem Linux PC mit möglichst wenig Abhängigkeiten.

1. Alles vergessen was da überall steht von Clouds, Telefonnummern, Android Apps, Passwortspeicherprogrammen blablabla...

2. Auf Firefox die Authenticator Erweiterung von mymindstorm installieren.

3. Damit den (oben gezeigten) QR Code scannen und die so erzeugte Nummer des Authenticators in das entsprechende Textfeld eingeben. -> Weiter

4. github-recovery-codes.txt sichern!

Das war's schon, denke ich.

Dann bei Anforderung den Authenticator hervorholen und wieder die erzeugte Nummer eingeben.

Die Authenticator Erweiterung hat bei Einstellungen den Punkt "Sicherung". Damit kann man die Einstellungen auf ein zweites Gerät/Browser exportieren.

Ich weiss natürlich nicht, ob da noch ein Problem nachkommt, aber so komme ich jedenfalls auf zwei Gerätem rein und "Two-factor authentication" in den "Einstellungen" schaut zufrieden aus.

Wenn es jemand besser weiss: Immer her damit!

Viel Glück!