"GitHub is now free for teams!"

Ha te azt gondolod, akkor az biztos úgy is van.

Hol irtam ilyet? 

szerk: vajon most mit irtam at? ;)

Read again, mhmxs megállapítására írtam, hogy ne akarjon, miszerint "Te minden letezo eszkozzel veded a privacydat, a github meg valahogy szeretne beazonositani.", ezen a megállapításon pedig nem változtat, hogy nem kell hozzá telefonszám. BTW, a hardwarekulcs egyedi fingerprint, ha egyszer sikerül hozzá nevet kötni, ugyanott vagy. A TOTP-t megpróbáltam, de megbízhatatlan a működése, a hatszámjegyű kódot egyszer sem fogadta el, a recovery-ket meg ad-hoc módon.

> copyzod tovabb szorgosan az emailes kodot

Ezt csinálom, képzeld. Ameddig ez az opció megmarad.

> valasztasz masik MFA csatornat

Read again, túl vagyunk rajta.

> nem hasznalod a GitHubot

Na, a végére csak bejött az ultima ratio. Mert ugye ha a projektek, amiket használok és amibe kódot küldök, a githubon vannak, akkor ne használjam, ugye? Na, ez az, amitől hányok, az amcsi tempó. Van valami ami működik, jönnek, megveszik, szétkúrják, majd jön az ultima ratio, hogy nem kötelező használni. A kugli is ezt csinálta a tecsővel.

> Mert ha nem ugyanazt a jelszot hasznalod az emailfiokodhoz mint a guthubhoz, akkor jo esellyel rogton ket jelszot is meg kell kaparintani. Szoval ha ettol nem lett biztonsagosabb a te github fiokod, akkor lehet nalad van valami elkefelve.

Miért, 2FA nélkül nem lehet mindenütt más jelszót használni? De lehet. Van rá saját megoldásom, lehet kísérletezni a kapott jelszavak feltörésével. Úgyhogy nem nálam van valami elkefélve.

> pontosan, ezert kell vedeni a fiokokat tobb modszerrel is.

Az oké, de miért kötelezően? Akinek erre nincs igénye, arra miért is kell rákényszeríteni?

> es az mennyire reprezentativ az osszes uzerre nezve?

Azt nem tudom, de 20-30 ember véleménye még mindig reprezentatívabb, mint egyé, esetünkben itt a tiéd. Főleg hasból előállított statisztikával.

> Azt gondolom, hogy a userek donthetik el a secure es user friendly csuszkan hova teszik magukat.

Ebben igazad van, csak ezzel pont a fentebbi állításodnak mondasz ellent, amire felhívtam a figyelmet: legyen opcionális.

> Szamtalan megoldas letezik, pl futtass valami kontenreben/vmben egy bongeszot, amiben csak github van, es ments el a cookiet egy diskre, amin full disk encryption van. Dragabb lesz megszerezni a cookiet nagy valoszinuseggel, mint amit vedesz vele (de ha nem, lehet biztos meg fokozni).

Ez már megint az a kategória, hogy messze több idő és szívás, mint beloggolni az emailfiókba.

> azt mondtam, valahogy be szeretne azonositani.

Hát ez az... Vagy te a "beazonosítás" alatt a "hitelesítést" értetted? Mert akkor elbeszéltünk egymás mellett. Nálam az beazonosítás az azt jelenti, hogy személy szerint tudja, hogy ki vagyok.

> es egyaltalan nem kotelezo megadnod semilyen szemelyes adatot, nem sorolom fel milyen modszerek vannak.

Fentebb kiveséztük: Okostelefon nincs, tehát app sincs. HW key nincs, meg amúgy is, az ugyanúgy egyedi fingerprint. TOTP-t megpróbáltam, nem működött. A hatszámjegyű kódot 100%-ban visszaköpte, a recovery kódokat rnd().

> ez most anyagi vagy elvi kerdes?

Anyagi.

> Persze lehet dacoskodni, de ettol nem fog a Githubnal senki hasraesni. Azta, hogy megszivatott minket. Kenyelmetlenul hasznalja a rendszert a fafejusege miatt.

Fordítsuk meg: kényelmetlenné tették a rendszert a saját fafejűségük miatt. Hovatovább, ha csak egy elmebeteg kecske (én) mondaná ezt, akkor igazad lenne, de egyre több user/repo pattan meg. Akkor is ezt fogják mondani, hogy "azta, hogy megszivattak minket", ha tömegével húznak majd el onnan? Egyelőre még csak apránként lépnek le (tízezrével a sokmillióból), de itt a tendencia a kérdés.

> Szarul, egy gyenge jelszoval vedve (kb elso hullamban alltam at 2fa-ra, mert olyan projektekhez volt hozzaferesem, ahol nem lett volna jo, ha barki ellopja az accountomat)

És? Ez legyen a te dolgod. Ha te váltani akarsz, akkor tegyed. Másnak ne tedd kötelezővé, kösz.

> Marmint a privacy nacik, meg akinek rejtegetnivaloja van, aki nem kolt 3000 Ft eldobhato simre, stb. A legtobbunknek nem okoz problemat bejelentkezni a githubra

Gratulálok ehhez a véleményhez. Aki nem szeretné az élete minden szegmensét kiteregetni a tömegmanipulációval foglalkozó amcsiknak, az privacy náci, meg biztos bűnöző, hiszen tisztességes embernek nincs mit rejtegetnie.
Engedelmeddel felszerelnék a slozidba egy kamerát és kitenném a live feed-et a tecsőre meg pár óriás kivetítőre a világ nagyvárosaiban. Jó lesz?
Engedelmeddel elkérném a bankkártyád adatait, aztán megyek bevásárolni. Jó lesz?
Engedelmeddel kiposztolnám redditre meg még pár helyre az egészségügyi kartonodat. Jó lesz?
Engedelmeddel lemásolnám a lakáskulcsodat párezer példányban és szétosztanám a csövesek, meg a maffiózók között. Jó lesz?
Jó reggelt kívánok, tudod mi az az érzékeny adat? Szerinted miért nem osztunk meg mindent mindenkivel? Ez nem privacy nácizmus, hanem óvatosság és józan ész. Mindenkinek van mit rejtegetnie: a saját fontos dolgait, amiken keresztül sebezhető - ez lehet a bankszámlád hozzáférése is, de akármi más is; te sem hagyod ott lezáratlanul a mobilodat/laptopodat mindenféle zsúfolt helyen, mert nem akarod, hogy visszaéljenek vele, nemdebár?
Az információ hatalom. Hatalom annak, aki birtokolja és hatalom afelett, akiről birtokolja. És ennek semmi köze nincs ahhoz, hogy ki privacy náci, meg ki mit rejteget. Ha tudják rólad, hogy mi érdekel, mire reagálsz, hogy mennyi pénzed van, milyen problémáid vannak, hogyan élsz, mit csinálsz, akkor manipulálni és/vagy támadni tudnak. Képzeld el ugyanezt tömegszinten. Szerinted, ha nem érné meg nekik a tömeges megfigyelés, akkor beleölnének ekkora pénzeket a rendszer kiépítésébe és fenntartásába? Gondolkodj már. Országok sorsát is el lehet akár így dönteni. És ha ezek után valaki nem akarja, hogy kövessék, megfigyeljék, hogy bűnözőként, állatként, kezeljék, akkor szerinted az hülye?

> Ezt kifejtened? Mert en egeszen eltero tanulmanyokat olvastam 2fa-rol. Nekem azt adja ki a matek, hogy jelszo mindig gyengebb mint ugyanaz a jelszo meg meg valami.

Kifejtem, bár már az elején leírtam, hogy a legnagyobb sechole az user, feltételeztem érteni fogod. Ugyan ez eléggé merev felfogás, hogy mit "ad ki" a matek, de megnézhetjük így is: ha van egy olyan jelszavad, hogy "6v867()=/BV89BT()6tb=/%RV7r/=IBR6tbi/=T8", meg egy olyan, hogy "x", meg arra még valami, akkor is a második felállás a jobb?
Aztán, mint mondtam, ez egy merev megközelítés, csak a metódust nézi (azt is rugalmatlanul), a körülményeket nem. Ha a júzer hülye és a hekkerek meghekkelik a ringyózos gépét/szardroidos mobilját, akkor fújhatja a 2FA-t. Márpedig a júzerek többsége hülye. Ezt te is elismerted fentebb. Ennek eredménye az is, hogy windózos ill. droidos malware milliószámra kószál mindenfelé. És ez csak az egyik fele. Ki is csalhatják tőle a hozzáférést. Pont mint jelszónál. Azonfelül mi lesz, ha lenyúlják a mobilját? És még sorolhatnám. Nem. A hülye júzerek számára a 2FA-tól semmi sem lett biztonságosabb, mert ők maguk a gyenge láncszem, a szűk keresztmetszet a biztonsági rendszerben. Aki meg tudja mit csinál, az meg elvolt enélkül a marhaság nélkül is.