Tag: authy
Wszystkie
Najnowsze
Eksport kluczy (tokenów) 2FA/TOTP z usługi Authy, z wykorzystaniem Authy Desktop i narzędzi dla deweloperów
Po artykule na temat usługi Bitwarden (menedżer haseł, z którego korzystam) dostałem całkiem sporo zapytań m.in. od znajomych o tę usługę. Ale to, co mnie zaskoczyło chyba najbardziej, to to, że dominującym argumentem nawet nie do samego korzystania z Bitwardena, ale od razu do przejścia na wersję płatną dla moich rozmówców okazała się opcja dostępu awaryjnego, o której wspomniałem trochę przy okazji (dla mnie – głównie ze względów zawodowych – to bardzo ważna opcja, z której korzystam po to, by “w razie czego” zabezpieczyć m.in. interesy swoich klientów). A skoro już ktoś zdecydował się na wersję płatną usługi Bitwarden, to bardzo możliwe, że zdecyduje się korzystać z niej również do generowania kodów jednorazowych 2FA/TOTP (Time-based One-Time Password).
Dzięki Scrcpy nie tylko wyświetlisz obraz z telefonu na komputerze, ale możesz nim sterować, robić zrzuty ekranu i nagrywać obraz
Przygotowując materiały (grafiki) do artykułu o menedżerze haseł Bitwarden, wrzuciłem do aplikacji, w której trzymam m.in. pomysły na kolejne artykuły (Trello) cegiełkę dotyczącą zrzutów ekranu, czyli czegoś, z czego często korzystam, i często o to dostaję pytania. Pisząc precyzyjniej, chodzi o zrzuty z ekranu telefonu. Zwłaszcza z aplikacji, które takie operacje blokują. A, że wdrożenie takiej blokady jest wręcz banalne, to coraz więcej aplikacji z tego korzysta, nawet jeśli nie ma takiej potrzeby…
Bitwarden to świetny menedżer haseł, który nawet w najlepszej cenie z najlepszych, czyli darmowej, jest więcej niż wystarczający
Wczoraj pojawiła się informacja, że od 16 marca usługa menedżera haseł Last Pass w wersji darmowej stanie się dość mało użyteczna, bo będzie działać tylko na jednym urządzeniu, czyli bez synchronizacji między różnymi urządzeniami. Może są osoby, dla których będzie to zmiana (relatywnie) mało odczuwalna, ale raczej większość będzie musiała albo przejść na wersję płatną, lub poszukać alternatywy. I nie mam na myśli KeePass (KeepassXC), chyba że ktoś jest nie tylko masochistą, co lubi sobie utrudniać życie (synchronizacja pliku z hasłami między urządzeniami), ale też i hazardzistą, liczącym na to, że to będzie zawsze działać. Nie mówiąc już o tym, że niezłym wyzwaniem jest wyjaśnienie przeciętnemu użytkownikowi komputera/internetu jak to ma działać… ;-)
Uwierzytelnienie dwuskładnikowe (2FA) w PhpMyAdmin
I kolejny raz zadziałała u mnie tzw. klątwa wiedzy, i coś, co wydawało mi się oczywiste, jak się okazało, niekoniecznie takie jest. Choć z bazą danych (MySQL) dość często pracuje z wiersza poleceń, to “od czasu do czasu” zaglądam do PhpMyAdmin. Nie tylko, by nie zapomnieć, jak się z niego korzysta. Zwłaszcza że na hostingach to podstawa, a choć sam z nich (od jakiegoś czasu) nie korzystam, to od czasu do czasu trafi się ktoś z prośbą o pomoc, i wtedy często to podstawowy sposób pracy z bazą danych. Korzystam też dlatego, że… po prostu jest wygodny, i są takie operacje, które wygodniej mi “wyklikać”, niż kombinować “w konsoli”. Wygoda wygodą, ale warto też dbać o bezpieczeństwo, zwłaszcza narzędzia takiego jak PhpMyAdmin.
Bezpieczne (za)granie, czyli logowanie dwuetapowe wymagane do odbioru bezpłatnych gier w Epic Games
Wprawdzie gram rzadziej niż rzadko, to regularnie moją kolekcję gier (w które większości zapewne nigdy nie zagram) zasilają kolejne tytuły. Od jakiegoś czasu jednym z głównych gier regularnie zasila Epic, a to wszystko dzięki regularnie udostępnianym gratisom. Wczoraj w aplikacji Epic Games pojawiła się informacja, że przez najbliższe dni (od 28 kwietnia do 21 maja) odbierać bezpłatne gry będą mogli tylko użytkownicy z aktywnym logowaniem dwuetapowym (2FA).
Na Twitterze pojawiła się opcja aktywacji dwuskładnikowego uwierzytelnienie (2FA) z wykorzystaniem aplikacji uwierzytelniającej
Choć zapewne nie jestem modelowym użytkownikiem mediów społecznościowych (w ogóle nie rozumiem, po co używać np. Facebooka w celach prywatnych, niezwiązanych z biznesową promocją) to najbliżej mi chyba do Twittera. Tak, tam też trafiają się zdjęcia kotków, czy relacje z kolejnego posiłku, ale mam wrażenie, że jest tego mniej. Jednak tego typu elementy zdecydowanie lepiej “żrą” na Facebooku czy Instagramie. Twitter, bo po odpowiedniej “konfiguracji źródeł” jest to relatywnie dobre źródło informacji o tym, co się dzieje na świecie. I choć konto na Twitterze nie jest czymś, co teoretycznie powinienem specjalnie chronić, to jednak w ramach ogólnej polityki bezpieczeństwa uważam, że warto chronić nawet mniej istotne punkty, bo mogą one być punktem wyjścia do dalszego ataku…
W Hitme.pl pojawiła się autoryzacja dwuskładnikowa (2FA) do panelu klienta (teraz czekam na panel zarządzania VPSami :-))
Jest gorącym zwolennikiem autoryzacji dwuskładnikowej (2FA), przynajmniej tam, gdzie autoryzacja opiera się na nazwie użytkownika i haśle, czyli elementach relatywnie stałych. Dostałem ostatnio cynk z Hitme.pl, że właśnie wprowadzili tego typu autoryzację dla swoich użytkowników. A, że z Hitme.pl korzystam na specjalnych warunkach (choć od tego czasu zmienił się serwer, na którym stoi strona), do tego zdarza mi się polecać ich usługi, to chyba warto wspomnieć o tym fakcie.
Przekazywanie dynamicznego adresu IP do serwera, np. by ustawić wyjątek dla uwierzytelnienia dwuskładnikowego (2FA) dla połączenia SSH
Kilka dni temu, w artykule o moim nowym internecie podstawowym (Internet na Kartę w Play) wspomniałem, że po kilku latach, brak stałego i publicznego adresu IP jest dla mnie większym utrudnieniem niż “skacząca prędkość”, czy w ogóle zanikający od czasu do czasu transfer. Dlatego uznałem, że muszę wdrożyć jakieś dodatkowe mechanizmy, które pozwolą mi zniwelować minusy wynikające z dynamicznie przydzielanego adresu IP…
Konfiguracja serwera VPS z Debian 9 jako serwer WWW, z wykorzystaniem niestandardowych źródeł pakietów
Przedwczoraj z HitMe.pl dotarła do mnie informacja, że matka serwera VPS na którym działa(ł) Webinsider.pl powoli zmierza na emeryturę (choć może dostanie pewnie jakieś zajęcie, by się nie nudziła ;-)), w związku z tym dostałem propozycję nowego serwera VPS. Oprócz tego, że oznacza to więcej mocy (więcej RAMu, więcej CPU, i dysk SSD do tego) to również przy tej okazji zmienił się typ wirtualizacji – z XEN na KVM. W związku z tym uznałem, że choć mógłbym spróbować dokonać migracji za pomocą SSH i Rsync, to postanowiłem, że skonfiguruję środowisko (web) serwera ręcznie, przy okazji robiąc notatki do nowej wersji artykułu na ten temat…
Jeśli korzystasz z Authy, to może zainteresuje Cię oficjalna (i samodzielna) aplikacja Authy na komputer
Z podwójnego uwierzytelnienia (2FA) staram się korzystać gdzie się tylko da, i ze względów chyba dość oczywistych, moim podstawowym partnerem w tym jest aplikacja na telefonie, która odpowiada za generowanie kodów jednorazowych (programowy token). Dawno, dawno temu używałem aplikacji Google Authenticator, która wprawdzie wizualnie może i się (trochę) zmienia, to brakuje jej choćby takiej podstawowej funkcjonalności jak kopie zapasowe czy synchronizacja między urządzeniami – w przypadku utraty telefonu tracimy automatycznie wszystkie tokeny. I to mimo, że aplikacja jest od Google, a więc aż by się prosiło zintegrować ją z kontem Google.
Dlatego równie dawno temu przerzuciłem się na Authy, które oprócz aplikacji na telefon ma wtyczkę do przeglądarki Chrome, a od niedawna również samodzielną aplikację na komputer…
Potwierdzenie od Google, czyli dwuskładnikowe uwierzytelnienie bez kodu z tokena lub SMSa
Nie będę tu powalił kolejny raz powielał informacji o tym co to jest dwuskładnikowe uwierzytelnienie (2FA), ani tym bardziej dlaczego warto z niego korzystać, bo to zapewne wszyscy nasi czytelnicy wiedzą… ;-)
W każdym razie firma Google “właśnie” (ponoć jeszcze nie na wszystkich kontach jest to dostępne, ale szybko się zmienia) dodała koleją opcję autoryzacji dwuskładnikowej – potwierdzenie (tak, nie) z poziomu skonfigurowanego telefonu z systemem Android (z iOS też, choć tylko na iPhone 5s lub nowszych, i trzeba zainstalować aplikację Google w telefonie), dzięki czemu nie trzeba już podawać kodu z tokena/SMSa.
Uwierzytelnienie dwuskładnikowe (2FA) w WordPressie, czyli jak prosto i szybko podnieść bezpieczeństwo logowania do panelu zarządzania WordPressem
Nie będę ukrywał, że chętnie korzystam z WordPressa (system CMS pod strony internetowe) i jestem wielkim zwolennikiem uwierzytelnienia dwuskładnikowego (2FA, czyli np. login i hasło + jednorazowy kod lub klucz), które staram się aktywować (prawie) wszędzie, gdzie mam taka możliwość. Dlatego dziś chciałbym pokazać jak w kilku prostych krokach aktywować uwierzytelnienie dwuskładnikowe w WordPressie.
Logowanie przez SSH/SCP z wykorzystaniem kodów jednorazowych Google Authenticator
Po pewnej przerwie wracam(y) do tematów związanych – mniej lub bardziej bezpośrednio – z bezpieczeństwem (zabezpieczaniem) serwerów (dedykowane, VPS, Raspberry Pi).
W tym wpisie postaram się pokazać, jak można zabezpieczyć proces logowania do systemu przez SSH/SCP za pomocą dodatkowego składnika uwierzytelniającego – jednorazowego kodu generowanego przez programowy token, który będzie wymagany do za zalogowania się do systemu (oczywiście oprócz loginu i hasła).
Nie panikuj, jeśli się zorientujesz, że do Facebooka możesz się zalogować nawet jak pomylisz się w adresie e-mail
Zadzwoniła dziś do mnie koleżanka, z którą kiedyś pracowałem (jako człowiek od IT i ogólnie pojętego bezpieczeństwa), że w jej biurze rozeszła się z szybkością błyskawicy (nie wiem czy chodziło o grzmot czy błysk) informacja, że na swoje konto na Facebooku może się zalogować nawet jeśli poda się błędny adres e-mail (login).
Oczywiście wszyscy u niej w biurze rzucili się do swoich (służbowy, a jak) komputerów by najpierw się wylogować z Facebooka (w końcu dla wielu to podstawowe narzędzie pracy biurowej ;-)), a następnie zmienić literkę czy dwa w adresie e-mail spróbować się zalogować ponownie – i za każdym razem, i każdemu się udało…
No i takim sposobem dział kadr w jednej z warszawskich firm wykrył “poważną dziurę bezpieczeństwa” na Facebooku – a przynajmniej tak im się wydawało ;-)
Korzystasz ze wspólnego konta Google na urządzeniu z systemem Android? Przeczytaj, jak to się może skończyć
Bez wnikania w zbytnio szczegóły – w ramach wprowadzenia – napiszę tylko, że zostałem ostatnio poproszony o pomoc w jednym z projektów realizowanych m.in. przez mojego znajomego.
Jako jedno z podstawowych narzędzi “pracy grupowej” wykorzystują oni wspólne konto Google (wraz z całym ekosystemem usług), co z doświadczenia wiem, jest dość popularne (zwłaszcza na uczelniach, gdzie często takie konto służy m.in. do wymiany notatek/materiałów z zajęć).
I mimo, że nie jestem szczególnym fanem takiego rozwiązania, bo do tego lepiej wykorzystać bardziej wyspecjalizowane “w pracy grupowej” narzędzia, to nie mam też nic przeciwko, poza jedną kwestią – bezpieczeństwa telefonu z system Android…
Authy jako programowy token w dwuskładnikowym uwierzytelnieniu logowania do Facebooka
Wprawdzie ciężko nazwać mnie użytkownikiem Facebooka (prędzej Twittera, który dzięki odpowiednio dobranej grupie “obserwowanych” traktuje jako kolejne źródło informacji), to jednak bezpieczeństwo nawet tak – przynajmniej w moim specyficznym przypadku – mało istotnej rzeczy jak moje konto na Facebooku traktuje standardowo, czyli dość poważnie.
Dlatego postanowiłem włączyć również i tu 2FA, czyli dwuskładnikowe uwierzytelnienie (zwłaszcza że pod moim “martwym prywatnym profilem” znajduje się tez strona Webinsidera, gdzie trafiają też informacje o najnowszych wpisach).
Podnieś bezpieczeństwo swojego konta w serwisie wFirma i aktywuj dwuskładnikowe logowanie
W serwisie wFirma – serwis umożliwiający prowadzenie księgowości firmy (opartej na Księdze Przychodów i Rozchodów, np. jednoosobowa działalność gospodarcza) za pośrednictwem serwisu internetowego – pojawiła się opcja dwuetapowego/dwuskładnikowego logowania/uwierzytelnienia. Duży plus, bo znacznie podnosi to bezpieczeństwo danych, które – zaryzykuje, że – często są ważniejsze, niż “wiadomości e-mail od cioci”, gdzie taką autoryzację mam od dawna… ;-)
Migracja z Google Authenticator do Authy (Android)
Korzystam z podwójnego uwierzytelnienia wszędzie, gdzie mogę, a dane/konto ma jakiekolwiek znaczenie… Na telefonie korzystam z Google Authenticator (do niedawna większość kont/usług) i Authy (do niedawna tylko Cloudflare). Właśnie skończyłem migrację z Google Authenticator do Authy (Android) i może komuś się przyda garść informacji, które mogą w tym pomóc…
Cloudflare: Podwójne uwierzytelnienie (2-Factor authentication)
Wprawdzie kilka(naście) dni temu zdarzyła im się mała (jeśli chodzi o przyczynę, nie skalę) usterka, ale niezależnie od tego nadal chętnie korzystam z ich usług…
Zwłaszcza, że sporo funkcji dostępnych jest za darmo, a gdy potrzeba więcej – ceny planu “Cloudflare Pro” są całkiem przystępne:
20$ miesięcznie za pierwszą domenę
5$ miesięcznie za każdą następną
I warto dodać, że na jednym koncie możemy mieć “strony” zarówno płatne jak i bezpłatne…
Dlatego tym bardziej cieszy mnie wprowadzona już jakiś czas temu opcja podwójnego uwierzytelnienia do konta klienta, co znacznie podnosi bezpieczeństwo…
Wesprzyj nas!
Promocja własna
Najnowsze wpisy
Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami
WordPress 6.5 i “Requires Plugins”, czyli autor wtyczki może teraz w prosty sposób określić, jakie wtyczki są niezbędne (wymagane), do działania jego wtyczki
Przegląd nowości w aktualizacji 01.03.1300 oprogramowania kontrolera DJI RC (RM330)
To właściwie koniec bezpłatnej wersji Jetpack Stats, czyli statystyk dostarczanych przez wtyczkę/usługę Jetpack do WordPressa
Krajowy System Informacji Dronowej (KSID), czyli usługi cyfrowe dla BSP w nowej odsłonie
Promocja własna
Promocja własna