Github 2FA to Brazil via SMS.md

Github Two-Factor Authentication (2FA) for Brazil via SMS

The Github doesn't provide country code for Brazil (+55). To add this option, just run the code below in your console. The option Brazil +55 will be the first on the list, already selected:

---

🇧🇷 [pt-BR]

Autenticação em dois fatores (2FA) do GitHub para o Brasil via SMS

O GitHub não provê o código para enviar SMS para o Brasil (+55). Para adicionar essa opção ao select, rode o código abaixo no console do seu navegador. A opção Brazil +55 será a primeira da lista, e já estará selecionada:

var brazil = document.createElement('option');
brazil.value = '+55';
brazil.appendChild(document.createTextNode('Brazil +55'));
document.querySelectorAll('#countrycode').forEach(select => select.prepend(brazil));
brazil.selected = true;

Palhaçada do github! Está ficando com cara de "produtos" google. Uma porcaria esse negócio de autenticação de dois fatores. O que adianta essa camada de segurança se nem o próprio dono da conta consegue acessá-la? Acho desnecessário, principalmente aqui no github, um site de programadores. É óbvio que todos os usuários aqui sabem que precisam de uma senha forte...

Ô, quem me dera programador fosse esperto assim. Se fossem, não tinha brecha de segurança por motivo besta a torto e a direito. O fato de que vemos uma dessas semana sim, semana não, nos mostra o contrário.

E ter senha forte não tem nada a ver com a autenticação em duas etapas. Te aconselho a ler mais sobre o assunto e entender melhor como isso evita a invasão de contas de forma que nenhuma senha, por mais forte que seja, consegue.

@andrebrait Eu já li bastante sobre, e 2FA não tem a mesma necessidade quando se usa um gerenciador de senha, (uma senha forte quando usava em vários websites já não é mais considerada segura pois provavelmente algum site ve essa senha em plaintext, então um gerenciador é melhor)

Eu ainda uso, mas só pra lidar com um único probleminha.

A única coisa que se adiciona como layer de segurança quando há uma senha criada controlada por gerenciador de senha é que não é possível acessar uma conta somente com o email como seria normalmente possível por causa da função de resetar a senha. 2FA acaba não permitindo isso; então a Google se você usa Gmail, não conseguiria acessar suas contas. (Obviamente, se você tem um backup que não é criptografado no G Drive, eles burlam isso fácil).

A outra coisa é em possíveis casos de phishing, pois o código muda. Mas eu argumento que isso não tem muito efeito pois se o login for feito com aqueles dados imediatamente, normalmente será possível desativar o que quiser.

A melhor coisa a se fazer é usar um gerenciador de senha digno, como o @bitwarden, gerar uma senha de 6 palavras aleatórias, mudar o mecanismo de password hashing para Argon2, e começar a senhas aleatórias para cada conta, já que daí vira até conveniente. E se você quiser que não seja possível atacar suas contas somente com o email, use 2FA TOTP com um app como o Aegis ou 2FAS e criptografe os backups.

Acredito que 2fa seja extremamente eficiente para evitar ataques de força bruta (ou permutação de lista), ao criar uma segunda senha efêmera que tem que ser colocada junto da original. Com 2fa, é mais uma etapa para um mau ator ter que lidar com, pois nem se ele souber exatamente a senha ele deveria conseguir entrar.

Acho que a melhor forma de garantir que seja quase impossível ter a conta roubada é uma boa mistura de gerenciador de senha (Bitwarden eh bom mesmo) e 2fa.

Aí a forma mais viável de atacar a conta se torna engenharia social…

Melhor do que isso, acho que só o 3fa presencial da rede de blockchain do Banco Central