Tag: 2fa

Bezpieczne (za)granie, czyli logowanie dwuetapowe wymagane do odbioru bezpłatnych gier w Epic Games

Wprawdzie gram rzadziej niż rzadko, to regularnie moją kolekcję gier (w które większości zapewne nigdy nie zagram) zasilają kolejne tytuły. Od jakiegoś czasu jednym z głównych gier regularnie zasila Epic, a to wszystko dzięki regularnie udostępnianym gratisom. Wczoraj w aplikacji Epic Games pojawiła się informacja, że przez najbliższe dni (od 28 kwietnia do 21 maja) odbierać bezpłatne gry będą mogli tylko użytkownicy z aktywnym logowaniem dwuetapowym (2FA).

Na Twitterze pojawiła się opcja aktywacji dwuskładnikowego uwierzytelnienie (2FA) z wykorzystaniem aplikacji uwierzytelniającej

Choć zapewne nie jestem modelowym użytkownikiem mediów społecznościowych (w ogóle nie rozumiem, po co używać np. Facebooka w celach prywatnych, niezwiązanych z biznesową promocją) to najbliżej mi chyba do Twittera. Tak, tam też trafiają się zdjęcia kotków, czy relacje z kolejnego posiłku, ale mam wrażenie, że jest tego mniej. Jednak tego typu elementy zdecydowanie lepiej „żrą” na Facebooku czy Instagramie. Twitter, bo po odpowiedniej „konfiguracji źródeł” jest to relatywnie dobre źródło informacji o tym, co się dzieje na świecie. I choć konto na Twitterze nie jest czymś, co teoretycznie powinienem specjalnie chronić, to jednak w ramach ogólnej polityki bezpieczeństwa uważam, że warto chronić nawet mniej istotne punkty, bo mogą one być punktem wyjścia do dalszego ataku…

Kolejny przekręt na Facebooku, czyli „zabezpiecz swój dostęp do profilu na Facebooku, wyślij w odpowiedzi swoje aktualne hasło”

Przekrętów nie tylko w internecie, i nie tylko na Facebooku pełno, stąd nawet nie mam ambicji napisać o większości z nich (choć z racji tego, że to często kolejne literacje tego samego pomysłu, to…). Ale raz na jakiś czas trafia się jakaś perełka, czy coś, co sprawia, że ten czy inny przekręt ląduje na naszych łamach. Tym razem Facebook i próba wyłudzenia hasła do konta…

Aplikacja Signal Desktop (Windows i Mac) z jawnym hasłem do zaszyfrowanej lokalnej bazy danych (SQLite)

Z racji tego, że korzystam z komunikatora Signal, kolega – który też z niego korzysta – podesłał mi link do artykułu, w którym opisana jest pewna „podatność” w desktopowej (Windows i Mac) komunikatora, która pozwala na relatywnie łatwe odczytanie zaszyfrowanej bazy danych, w której znajdują się m.in. odebrane i wysłane wiadomości. Nie zdziwiło mnie to, gdyż… sam jakiś czas temu, szukając pewnej informacji postanowiłem dobrać się do pliku SQLite wykorzystywanego przez aplikację Signal, i nie było to trudne…

Przekazywanie dynamicznego adresu IP do serwera, np. by ustawić wyjątek dla uwierzytelnienia dwuskładnikowego (2FA) dla połączenia SSH

Kilka dni temu, w artykule o moim nowym internecie podstawowym (Internet na Kartę w Play) wspomniałem, że po kilku latach, brak stałego i publicznego adresu IP jest dla mnie większym utrudnieniem niż „skacząca prędkość”, czy w ogóle zanikający od czasu do czasu transfer. Dlatego uznałem, że muszę wdrożyć jakieś dodatkowe mechanizmy, które pozwolą mi zniwelować minusy wynikające z dynamicznie przydzielanego adresu IP…

Internet na Kartę w Play + miesiąc bez limitu GB za 49 zł, czyli mój nowy internet podstawowy (na najbliższe kilka miesięcy)

W związku ze zmianami w moim życiu, jakiś czas temu zacząłem rozglądać się za internetem mobilnym, który przejąłby rolę internetu podstawowego, który od wielu lat miałem „z kabla”. Kilka ostatnich lat korzystałem z internetu dostarczanego przez JMDI, ale u nich – by cena wyglądała znośnie – trzeba podpisać cyrograf na minimum 12 miesięcy, negocjacji (kilka miesięcy na czas nieokreślony w przyzwoitej cenie) nie przewidują, dlatego musieliśmy się rozstać z końcem lipca. I tak, pomimo pewnego sceptycyzmu jeśli chodzi o używanie internetu mobilny jako głównego sposobu dostępu do internetu nie miałem wyjścia, trzeba było pójść w tym kierunku…

Raport ZBP – Cyberbezpieczny portfel, i moja mała polemika na temat pozytywnych aspektów regularnej zmiany haseł (nie tylko) do bankowości internetowej

Kilka dni temu trafiłem na raport ZBP (Związek Banków Polskich) pod tytułem „cyberbezpieczny portfel” (czerwiec 2018). I choć uważam, że z raportem warto się zapoznać, być może nawet ktoś wyciągnie z jakieś wnioski, które wpłyną pozytywnie na jego bezpieczeństwo w internecie, to… z jednym zagadnieniem wejdę w polemikę…

Konfiguracja serwera VPS z Debian 9 jako serwer WWW, z wykorzystaniem niestandardowych źródeł pakietów

Przedwczoraj z HitMe.pl dotarła do mnie informacja, że matka serwera VPS na którym działa(ł) Webinsider.pl powoli zmierza na emeryturę (choć może dostanie pewnie jakieś zajęcie, by się nie nudziła ;-)), w związku z tym dostałem propozycję nowego serwera VPS. Oprócz tego, że oznacza to więcej mocy (więcej RAMu, więcej CPU, i dysk SSD do tego) to również przy tej okazji zmienił się typ wirtualizacji –  z XEN na KVM. W związku z tym uznałem, że choć mógłbym spróbować dokonać migracji za pomocą SSH i Rsync, to postanowiłem, że skonfiguruję środowisko (web) serwera ręcznie, przy okazji robiąc notatki do nowej wersji artykułu na ten temat…

Klonowanie serwerów VPS za pomocą programu Rsync i bezpiecznego połączenia SSH

Z końcem roku wygasa moje ostatnie konto hostingowe, czyli hosting współdzielony. Zostaną mi tylko konta opłacane bezpośrednio przez niektórych klientów (coś o tym będzie niebawem). Wprawdzie z takim zamiarem nosiłem się od dawna, to cały czas utrzymywałem 2 ostatnie konta tego typu, na których trzymałem „spokojniejsze strony”. Pierwsze konto pożegnałem we wrześniu, za kilka dni pożegnam ostatnie. Nie będę ukrywał, że w podjęciu decyzji pomogła mi firma hostingowa (o tym też będzie niebawem). Niezależnie od powodów, całkowita rezygnacja z hostingu współdzielonego oznacza, że musiała rozwinąć się moja flota serwerów VPS…

Jeśli korzystasz z Authy, to może zainteresuje Cię oficjalna (i samodzielna) aplikacja Authy na komputer

Z podwójnego uwierzytelnienia (2FA) staram się korzystać gdzie się tylko da, i  ze względów chyba dość oczywistych, moim podstawowym partnerem w tym jest aplikacja na telefonie, która odpowiada za generowanie kodów jednorazowych (programowy token). Dawno, dawno temu używałem aplikacji Google Authenticator, która wprawdzie wizualnie może i się (trochę) zmienia, to brakuje jej choćby takiej podstawowej funkcjonalności jak kopie zapasowe czy synchronizacja między urządzeniami – w przypadku utraty telefonu tracimy automatycznie wszystkie tokeny. I to mimo, że aplikacja jest od Google, a więc aż by się prosiło zintegrować ją z kontem Google.
Dlatego równie dawno temu przerzuciłem się na Authy, które oprócz aplikacji na telefon ma wtyczkę do przeglądarki Chrome, a od niedawna również samodzielną aplikację na komputer…

Od 7 kwietnia 2017 Profil Zaufany ePUAP bez autoryzacji przy użyciu poczty elektronicznej (oczywiście zostają kody SMS)

Z Profilu Zaufanego ePUAP korzystam chyba od samego początku jego istnienia – z samej platformy ePUAP mniej (choć może to się zmieni, bo w końcu zaczęło coś tam się dziać), ale Profilem Zaufanym całkiem wygodnie autoryzuje się zmiany w CEIDG czy ZUS PUE. Dziś otrzymałem wiadomość, że za kilka dni platforma definitywnie żegna się z kodami jednorazowymi przesyłanymi za pośrednictwem poczty e-mail – dostępna będzie tylko (dodatkowa) autoryzacja za pomocą SMSów.

Na dobry początek dnia mój telefon (Android) poprosił mnie o ponowne zalogowanie do wszystkich kont Google

Dziś rano przywitała mnie „miła niespodzianka” na telefonie – musiałem dokonać ponownego logowania dla wszystkich konto Google jakie mam skonfigurowane w telefonie. W tym czasie dostałem też pierwsze zapytania od znajomych, których tez spotkała taka „niespodzianka” z pytaniem, czy jest to powód do zmartwień/obaw…

Z radością przywitałem niezależny Profil Zaufany, i raczej nie będę tęsknił za platformą ePUAP

Weekend – taki przedłużony, bo od samego rana w piątek, do poranka w poniedziałek – spędziłem w Trójmieście, z naciskiem na Gdynię, i WordCamp, który był głównym powodem mojego wyjazdu.
Po powrocie „dzień pracy” zacząć musiałem od zapłaty kolejnego podatku, dla niepoznaki zwanego ZUSem – samą deklarację ZUS DRA wygenerowałem szybko i sprawnie w serwisie wFirma, gdzie prowadzę księgowość krajowej działalności gospodarczej. Od razu pobrałem też plik ZUS KEDu, dzięki któremu szybko mogę zaimportować deklarację do Platformy Usług Elektronicznych ZUS (PUE ZUS).
I tu niespodzianka – wiedziałem, że w weekend była jakaś przerwa techniczna związana z platformą ePUAP, i jak się okazuje, prawdopodobnie było to związane z wyodrębnieniem Profilu Zaufanego do oddzielnej usługi…

Loading

InfoWidget

InfoWidget

InfoWidget

Pin It on Pinterest