<div dir="ltr"><div dir="ltr">On Mon, Oct 24, 2022 at 3:36 AM Kevin Kofler <<a href="mailto:kevin.kofler@chello.at">kevin.kofler@chello.at</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br></blockquote><div><br></div><div>Hi Kevin,</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Ben Cooksley wrote:<br>
> As part of securing Invent against recently detected suspicious activity <br>
<br>
What kind of suspicious activity would that be? Yesterday, Invent even <br>
considered it "suspicious" enough to send a warning e-mail that my semi-<br>
static IP address (TV-cable broadband ISP) has changed after several months. <br>
Dynamic IP addresses are not exactly unusual.<br></blockquote><div><br></div><div>It was likely just flagging that you were logging in from a different IP address to your usual address.</div><div>For most people the set of addresses they will be logging in from won't change much (given that the vast majority of people use always-on internet connections now, which means IP addresses - even if theoretically dynamic - are in practice fairly static).</div><div><br></div><div>The suspicious activity is not related to static/dynamic IP addresses, and as it is an ongoing matter i'd prefer not to comment until it is satisfactorily resolved.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> I have also enabled Mandatory 2FA, which Gitlab will ask you to configure<br>
> next time you access it.<br>
<br>
IMHO, this is both an absolutely unacceptable barrier to entry and a <br>
constant annoyance each time one has to log in.<br></blockquote><div><br></div><div>You shouldn't have any issues with remaining logged in as long as your browser remains open. </div><div><br></div><div>If this is not the behaviour you are seeing then please check the browser addons/extensions you are using as these can often break functionality in unexpected ways.</div><div>This is especially when they claim to offer benefits relating to privacy or security (the EFF's HTTPS Everywhere extension several years back broke links for some KDE sites by completely changing the subdomain)</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
> This can be done using either a Webauthn token (such as a Yubikey) or TOTP <br>
> (using the app of choice on your phone)<br>
<br>
What am I expected to use with my PinePhone? Does <br>
<a href="https://apps.kde.org/keysmith/" rel="noreferrer" target="_blank">https://apps.kde.org/keysmith/</a> work?<br></blockquote><div><br></div><div>Please see the other responses to this thread.</div><div><br></div><div>I did not supply a list of applications that people should be using as there is a diverse range of devices and appstore ecosystems in use by different people, and I don't have access to hardware such as a PinePhone to validate any of that.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
And how do you intend to prevent users from running the TOTP app on the same <br>
device as the web browser (both on the smartphone or even both on the <br>
desktop/notebook)? You just cannot. (As far as I know, even Yubikeys can be <br>
emulated in software.) Two-factor is a farce. </blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
        Kevin Kofler<br></blockquote><div><br></div><div>Regards,</div><div>Ben </div></div></div>