GitHub ja 2FA - ohjeet?

[intikka]

Mistä löytäisi idiootin ymmärtämät ohjeet, miten 2FA (2 factor authentication) konfiguroidaan GitHubisssa? Ei onnistu GitHubin itsensä ohjeilla...

[nm]

Millä TOTP-mobiilisovelluksella olet yrittänyt? Microsoft Authenticator vai joku muu? Missä vaiheessa konfigurointi epäonnistuu?

[intikka]

Millä TOTP-mobiilisovelluksella olet yrittänyt?

Huomaan, että olen ymmärtänyt asiasta vielä vähemmän kuin olen kuvitellut ymmärtäväni. 
Tarkoittaako tuo sitä, että kohta puolin GitHubiin pääsee vain mobiilisti kännykällä??
Vai saako Ubuntuukin vastavan sovelluksen?

[nm]

2-Factor Authentication eli kaksiosainen todentaminen tarkoittaa tunnistautumista kahdella eri menetelmällä. Nykyisin käytössä on usein käyttäjätunnus ja salasana -yhdistelmän ohella jokin puhelimeen sidottu menetelmä, kuten mobiilisovellus tai tekstiviestinä vastaanotettava koodi. GitHub tukee toisena kirjautumismenetelmänä tekstiviestikoodia, TOTP (Time-based one-time password) -sovelluksia tai omaa mobiilisovellustaan.

Jos et halua käyttää mobiilisovelluksia, valitse toiseksi menetelmäksi tekstiviesti.

Sitten kun olet saanut 2FA:n toimimaan, voit yksinkertaistaa kirjautumista Passkey-menetelmällä, joka on Googlen kehittämä uusi mekanismi turvalliseen kirjautumiseen: https://docs.github.com/en/authentication/authenticating-with-a-passkey/about-passkeys

[SuperOscar]

Mobiilisovellusten lisäksi myös Yubikey voi toimia toisena tunnistautumismenetelmänä. Huomasin sen itse nimenomaan GitHubissa, kun olin sivutyönantajan kirjautumisvaatimusten pakottamana joutunut Yubikeyn ottamaan (he onneksi maksoivat ).

[intikka]

Onkohan gnome-authenticator

https://apps.gnome.org/fi/Authenticator/

mobiilisovellusta vastaava appsi Ubuntuun?

[Whig]

kun olin sivutyönantajan kirjautumisvaatimusten pakottamana joutunut Yubikeyn ottamaan (he onneksi maksoivat ).

Pakko kysyä näin vuosia yubikeytä käyttäneenä onko sen käytössä jotain negatiivista? :-D

[Efraiminpoika]

Linkki yhteen avoimen koodin 2FA sovelluruksista kertovaan Lontoon kieliseen juttuun: https://indii.org/blog/open-source-alternatives-for-two-factor-authentication/

Siinäkin kohta "Keep the file somewhere accessible from all devices, e.g. cloud storage." ei minusta tunnusta viisaalta. Ehkä johtuu huonosta englannin ymmärryksestä 

Kaikissa laitteeseen perustuvissa 2FA-menetelmissä aika oleellinen on kysymys: mitä tapahtuu kun ainoa kännykkä tai Yubikey häviää tai hajoaa? Hyvin monta kertaa kun 2FA:n turvallisuutta hehkutetaan ja sitä ehdotetaan käytettäväksi tästä ei puhuta mitään. GitHubissa saat näitä "recovery codes", joilla pääset tilillesi, mutta missä säilytät mappia, joissa sinulle on kaikkien palveluiden "palautuskoodit" turvallisesti niiden tuhoutumisen tai vääriin käsiin joutumisen estämiseksi.

Kun kyseessä on organisaatio, kuten yritys, jonkulla on enemmän oikeuksia ja voit saada uuden laitteen, jolla pääset työssä tarvittaviin järjestelmiin takaisin, mutta yksityishenkilö ei tällaista "peräänkatsojaa" ole.

Google ehdottaa tässä kohtaa backupia koko puhelimesta, mutta kyllä tässäkin kohtaa voi tulla yllätyksiä, jos ko Google-tili on 2FA suojattu hävinneen puhelimen sovellutuksella.

Ei ole mitään absoluuttista turvallisuutta ja toisaalla kaikki pitäisi tapahtuu helposti hiukan sormea tai puhelinta heilauttamalla

Tietotekniikka on tuonut mukaanaan kaikenlaista kivaa, mutta kyllä käyttäjän olisi ymmärrettävä edes vähän mitä tekee, vastuuta on vaikea tai kallis ulkoistaa...

Tämä nyt on tämmöstä eläkeläisäijän muutosvastarintaa, koska eteen katsominen ei enää ole tarpeen  kuten silloin kun olin nuori...

[intikka]

Linkki yhteen avoimen koodin 2FA sovelluruksista kertovaan Lontoon kieliseen juttuun: https://indii.org/blog/open-source-alternatives-for-two-factor-authentication/

Kiitämme. Mutta pilveen en laita varmuuskopiota 

[AimoE]

Sitten kun olet saanut 2FA:n toimimaan, voit yksinkertaistaa kirjautumista Passkey-menetelmällä, joka on Googlen kehittämä uusi mekanismi turvalliseen kirjautumiseen: https://docs.github.com/en/authentication/authenticating-with-a-passkey/about-passkeys

Itse kunkin kannattaa miettiä, miten paljon sitoo omia netti-identiteettejään yhden järjestelmätoimittajan varaan, ja sitooko kaiken yhden tilin varaan.

Jos ei halua sitoa netti-identiteettiänsä yhteen ainoaan Google-tiliin, vaan haluaa pitää yllä useita täysin erillisiä (Google- tai muita) identiteettejä, joutuu noitumaan ne kaikki erikseen. Passkey helpottaa sitä urakkaa Google-tileillä, ja Google-tilit varmaankin ovat merkittävä osa kaikista, mutta eivät ne silti ole kaikki kaikessa.

[nm]

Jos ei halua sitoa netti-identiteettiänsä yhteen ainoaan Google-tiliin, vaan haluaa pitää yllä useita täysin erillisiä (Google- tai muita) identiteettejä, joutuu noitumaan ne kaikki erikseen. Passkey helpottaa sitä urakkaa Google-tileillä, ja Google-tilit varmaankin ovat merkittävä osa kaikista, mutta eivät ne silti ole kaikki kaikessa.

Joo, Passkey on ehkä muutenkin turvallisin niin että sitä ei synkronoida eri laitteiden välillä, vaan jokaisella laitteella ja käyttöjärjestelmällä on omat pääsyavaimensa, jotka voidaan tallentaa vaikkapa TPM:ään. Käsittääkseni Microsoft ja Apple tekevät niin oletuksena. Androidissa pääsyavaimet tallennetaan Google Password Managerilla ja sidotaan Google-tiliin. Voi olla, että Androidissa pilvisynkronointia ei voi välttää. Linuxissa ei vielä ole järjestelmätason tukea pääsyavaimille, joten Chrome-pohjainen selain ja Google-tili taitaa olla ainoa vaihtoehto.

[Efraiminpoika]

Siis koko 2FA kannattaa unohtaa kokonaan?
Nyt se onkin Passkeys, joka on uusi ratkaisu?

Eikös ssh:ssa ole ollut avainpohjainen tunnustautuminen jo viime vuosituhannella, vai alkaako muisti pettää?
Kyllähän pyöräkin on keksitty moneen kertaan uudelleen ..

Mikäs tämä TPM olikaan? Sehän oli syy, jonka takia Windows 11 päivitys ei onnistu kaikkiin koneisiin, vaikka vääntöä ja muistia löytyisi vaikka muille jakaa: https://www.pcmag.com/explainers/what-is-a-tpm-and-why-do-i-need-one-for-windows-11
KeePassXC 2.7.7:ssä on Passkeys tuki: https://keepassxc.org/blog/2024-03-10-2.7.7-released/
Yubikey ja Passkeys https://www.yubico.com/blog/a-yubico-faq-about-passkeys/

Tällä hetkellä tuo KeePassXC vaikuttaisi omalla kohdalla kiinnostavimmalta, kun suurin osa käytöstä ei ole mitään Area51 touhua 

KeePassXC:llä olisinn irti Googlesta, Applesta ja Microsoftista, jotka ovat vahvasti Passkeys ratkaisun taustalla.

KeePassXC tietokannan ja sen avaamiseen tarvittavien avainten suhteen olisin ihan omillani ja toimisi ehkä paikallisestikin, vaikka ei olisi nettiyhteyttä.

Hitaana voin ohittaa ja unohtaa 2FA  kokonaan tai tyytyä söhköposti/tekstiviestiin salasanan lisäksi, vaikka "Man in the middle" on niissä mahdollista, vaikkakaan ei ihan yksinkeraista ?

[AimoE]

Siis koko 2FA kannattaa unohtaa kokonaan?
Nyt se onkin Passkeys, joka on uusi ratkaisu?

En ole itsekään vielä ehtinyt sisäistää tätä Passkey-juttua, mutta ihan tämän ketjun perusteella Passkey ei korvaa 2fA:ta, vaan tekee sen(kin) käytön helpommaksi.

Voisiko joku linkata tähän Passkey-ohjeen, jonka on kokenut erityisen selkeäksi? Jaa, KeePassXC:n ohje taitaakin olla aika hyvä.

KeePassXC 2.7.7:ssä on Passkeys tuki: https://keepassxc.org/blog/2024-03-10-2.7.7-released/

Kiitos vinkistä -- sieltä löytyy linkki https://fidoalliance.org/passkeys/, joka taitaa olla se paikka, josta minä aloitan opiskelun.

[nm]

Siis koko 2FA kannattaa unohtaa kokonaan?
Nyt se onkin Passkeys, joka on uusi ratkaisu?

GitHubin tapauksessa 2FA pitää olla ensin konfiguroituna, jotta voit ottaa Passkeyn käyttöön. Tai ainakin ymmärsin ohjeet niin.

[Efraiminpoika]

Tulipa yritettyä Passkeys ja KeePassXC käyttämistä sivustolle passkeys.io

Passkeys käyttö KeePassXC:llä vaatii KeePassXC selainlaajennuksen käyttöä ja sehän oli helppo asentaa. Vaan eipä toiminut alkuunkaan.

Vähän aika päätäni raavittua huomasin/muistin, että KeePassXC ei toimi snapilla asennetun selaimen kanssa

Asensin siis Vivaldin deb paketilla, mikä ei meinannut onnistua Incus virtuaalikoneelle, kun sille piti ensin asentaa gdebi ..

Sitten piti napsutella sekä KeePassXC:stä että Vivaldi käyttöön ja käynnistää molemmat uudelleen ja sainhan minä sen tarpeeksi monta kertaa sieltä sun täältä napsuteltua ja rukseja lisättyäni toimimaan ja nyt on eka Passkeys avaimineen talllessa KeePassXC:ssä.

Tässä Youtube video jonka katsoin ennen kokeilujani https://www.google.com/search?client=ubuntu-sn&channel=fs&q=keepassxc+passkey#fpstate=ive&vld=cid:7e7eaaf7,vid:L7uXFJfxf80,st:0 ja toinen huonolla englannilla https://www.youtube.com/watch?v=7Q3YrgKS9vw

Seuraavaksi täytyy pitää luova tauko ja nukkua yön yli ennen kuin kirjaudun GitHub tililleni ja yritän Passkeys käyttöönottoa sinne.

[Efraiminpoika]

Siis koko 2FA kannattaa unohtaa kokonaan?
Nyt se onkin Passkeys, joka on uusi ratkaisu?

GitHubin tapauksessa 2FA pitää olla ensin konfiguroituna, jotta voit ottaa Passkeyn käyttöön. Tai ainakin ymmärsin ohjeet niin.

Tein uuden GItHub tilin, johon vaadittiin tehtävä, jonka ei pitäisi onnistua koneellisesti ja sen jälkeen tuli 8 numeroinen luku sähköpostiin. Sitten vaan kirjauduin sisään ja lisäsin Passkeys:n (Vivaldi+KeepassXC-laajennus+KeypassXC), jonka avulla sain nyt kirjauduttua GitHub-tilille. Ei siis tarvinnut lisätä 2FA:ta. Sain kyllä huomatuksen, että onnistuu vain tältä yhdeltä laitteelta. Mitä kyllä epäilen vahvasti, koska KeePassXC:n Passkeys voidaan siirtää: joko koko tietokanta tai yksittäinen avainkin.

Oleellista tässä on ettei tarvinnut Android+Google-tiliä, Microsoft-tiliä (Windows 11), Apple-tiliä (puhelin/tabletti/tietokone) tai   Yubikey:tä käyttääkseni Passkeys. Niillä kaikilla ja varmaan muullakin tavalla Passkeys-käyttö myös onnistuu.

Mikä on siis ero KeePassXC:llä ja näillä jättiläisillä: KeyPassXC:llä salaiset avaimet on koneellani KeyPassXC:n salasanan takana ja jättiläiset uskovat, että heidän takanaan ne ovat varmemmassa turvassa. Muutakin eroa varmaan on.

Kyllähän tämä on 2FA, mutta versio 2 ja salasanoja tai niiden hasheja ei ole palvelimella vain julkinen avaimeni, joka ei kerro missä salainen avaimeni luuraa

Nextcludiin kirjautuminenkin, jos olisi sellainen itsellä, onnistuisi tämän mukaan https://help.nextcloud.com/t/nc26-and-webauthn-passkey-with-android-possible-or-not/170962
 ja tämä oli Windows 10:stä KeePassXC:llä

Seuraavaksi pitää heittää snap Firefox järveen ja asentaa apt Firefox Ubuntu 22.04/24.04:iin

Mistä löytäisi idiootin ymmärtämät ohjeet, miten 2FA (2 factor authentication) konfiguroidaan GitHubisssa? Ei onnistu GitHubin itsensä ohjeilla...

Kiitos avauksesta/kysymyksestä, jonka seurauksena eläkeläisäijäkin älysi jotain uutta käyttökelpoista, vaikkakin jo kauan sitten keksittyä. Tässä taisi muutosvastarinta olla turhaa ...

Kyllä eläkeläisäijästä Passkeys/FIDO (2FA versio 2) on 2FA:ta helpompi/yksinkertaisempi ja salasanoja turvallisempi ratkaisu.

[SuperOscar]

Pakko kysyä näin vuosia yubikeytä käyttäneenä onko sen käytössä jotain negatiivista? :-D

Ei missään nimessä – pikemmin päinvastoin. Vaihtoehtona oli asentaa omaan puhelimeeni paitsi Microsoft Authenticator myös Intune-valvontaohjelmisto, joka olisi luonut puhelimeen työnantajan profiilin ja erilliset sovellukset. Siihen en halunnut suostua. Lähinnä vastustin sitä, että olisin joutunut maksamaan Yubikeyn itse.

[intikka]

GitHub + 2FA = toimii. 

Kiitämme.

[Efraiminpoika]

Siis koko 2FA kannattaa unohtaa kokonaan?
Nyt se onkin Passkeys, joka on uusi ratkaisu?

GitHubin tapauksessa 2FA pitää olla ensin konfiguroituna, jotta voit ottaa Passkeyn käyttöön. Tai ainakin ymmärsin ohjeet niin.

Tässä  GitHub onkin mielenkiintoinen. Passkeys saa toimimaan vaikka ei ole 2FA käytössä, mutta salasanalla pääsee yksinkin. Kun ottaa 2FA:n käyttöön niin enää ei onnistu pelkällä salasanalla, vaan nyt on 2FA käytössä ja 2FA on Passkeys. Passkeys on siis ensisijainen 2FA. Vaihtoehdot ovat siis salasana+Passkeys tai pelkkä Paskeys.
 Tämä kaikki onnistui itsellä KeePassXC:llä.
 2FA:n käytttöönoton yhteydessä saa listan näitä varakoodeja, joille pitää löytää mappi ja muutenkin turvallinen sekä varma säilytys. 
Ohjeet sekä GitHubissa, että KeePassXC:llä ei ole minusta kovinkaan selkeät vai johtuuko englannin taidostani...