<div dir="ltr"><div dir="ltr">On Mon, Oct 24, 2022 at 12:37 PM Kevin Kofler <<a href="mailto:kevin.kofler@chello.at" target="_blank">kevin.kofler@chello.at</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Ben Cooksley wrote:<br>
> On Mon, Oct 24, 2022 at 3:36 AM Kevin Kofler <<a href="mailto:kevin.kofler@chello.at" target="_blank">kevin.kofler@chello.at</a>><br>
> wrote:<br>
>> IMHO, this is both an absolutely unacceptable barrier to entry and a<br>
>> constant annoyance each time one has to log in.<br>
> <br>
> You shouldn't have any issues with remaining logged in as long as your<br>
> browser remains open.<br>
<br>
I wrote "each time one has to log in", not "remaining logged in".<br>
<br>
I sure hope that I just have to jump through the 2FA hoops only once per log <br>
in and not several times. But that is still one time too many.<br>
<br>
And "as long as your browser remains open" is at most one day. I turn the <br>
computer off while I sleep. So if this change forces me to log in each time <br>
I restart the browser, and hence at least each time I restart the computer <br>
(which is currently *not* the case, I can remain logged in for days <br>
throughout hundreds of browser sessions), that would mean going through the <br>
2FA procedure at least every day.<br></blockquote><div><br></div><div>The 2FA prompt (for normal users) is only applied on login yes.</div><div>Note that I can't examine your experience exactly as admins get prompted to reauthenticate more frequently, especially when undertaking sensitive actions.</div><div><br></div><div>See <a href="https://gitlab.com/gitlab-org/gitlab/-/issues/16656" target="_blank">https://gitlab.com/gitlab-org/gitlab/-/issues/16656</a> for more surrounding 2FA on each login.</div><div><br></div><div>With respect to logins being remembered, I have just performed a test using a vanilla version of Firefox as shipped by OpenSUSE.</div><div>Logging into <a href="http://invent.kde.org" target="_blank">invent.kde.org</a> (with the "Remember me" box ticked), completing 2FA authentication, performing a few actions and then closing the browser followed by reopening it a few moments later led to the result I expected - that I was still logged into Gitlab.</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> I did not supply a list of applications that people should be using as<br>
> there is a diverse range of devices and appstore ecosystems in use by<br>
> different people, and I don't have access to hardware such as a PinePhone<br>
> to validate any of that.<br>
<br>
So you are single-handedly forcing a new requirement on everyone, but are <br>
not willing to help us in any way with it, even just by telling us how to <br>
fulfill it. That is very unhelpful.<br></blockquote><div><br></div><div>I could have provided links to a few applications. </div><div>They wouldn't have suited everyone though, so I opted not to do so on the basis that there are dozens of apps that support handling TOTP.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
And you conveniently evaded my main questions:<br>
* why such a change can be decided by one person suddenly on a Sunday <br>
morning, with no warning (well, the software "gracefully" gives us 2 days to <br>
comply… only two days!), let alone (transparent) discussion.<br></blockquote><div><br></div><div>As mentioned in my initial email - securing us against suspicious activity that has been detected.</div><div>This is also why there was no discussion in advance.</div><div><br></div><div>One of the responsibilities that Sysadmin is charged with is ensuring our data is protected and kept safe.</div><div>That is exactly what I am doing - using industry standard best practices.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
* what the point of two-factor is at all considering that you have no way to <br>
prevent the developer from storing the password and the OTP generator on the <br>
same device.<br></blockquote><div><br></div><div>** Caution - a strawman argument has been detected **</div><div><br></div><div>The point of 2FA is to prevent stolen credentials from being misused by an attacker.</div><div>If your device is compromised, 2FA isn't going to stop anything because they can just wait (or otherwise prompt) for you to login to the site and steal your session to do whatever it is they want to do.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
In short, the 2FA requirement is unacceptable and needs to be disabled <br>
immediately.<br></blockquote><div><br></div><div>On that we disagree fundamentally.</div><div><br></div><div>Regards,</div><div>Ben</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
        Kevin Kofler<br>
<br>
PS/OT:<br>
<br>
> For most people the set of addresses they will be logging in from won't<br>
> change much (given that the vast majority of people use always-on internet<br>
> connections now, which means IP addresses - even if theoretically dynamic<br>
> - are in practice fairly static).<br>
<br>
"fairly static" does not mean it never changes, as in my case. But we need <br>
not discuss this tangent any further. The mandatory 2FA nonsense is the real <br>
issue, let us please focus on that.<br>
</blockquote></div></div>