Wszystko o token | Webinsider - Internet widziany od środka ™

Tag: token

Eksport kluczy (tokenów) 2FA/TOTP z usługi Authy, z wykorzystaniem Authy Desktop i narzędzi dla deweloperów

Po artykule na temat usługi Bitwarden (menedżer haseł, z którego korzystam) dostałem całkiem sporo zapytań m.in. od znajomych o tę usługę. Ale to, co mnie zaskoczyło chyba najbardziej, to to, że dominującym argumentem nawet nie do samego korzystania z Bitwardena, ale od razu do przejścia na wersję płatną dla moich rozmówców okazała się opcja dostępu awaryjnego, o której wspomniałem trochę przy okazji (dla mnie – głównie ze względów zawodowych – to bardzo ważna opcja, z której korzystam po to, by „w razie czego” zabezpieczyć m.in. interesy swoich klientów). A skoro już ktoś zdecydował się na wersję płatną usługi Bitwarden, to bardzo możliwe, że zdecyduje się korzystać z niej również do generowania kodów jednorazowych 2FA/TOTP (Time-based One-Time Password).

Bezpieczne (za)granie, czyli logowanie dwuetapowe wymagane do odbioru bezpłatnych gier w Epic Games

Wprawdzie gram rzadziej niż rzadko, to regularnie moją kolekcję gier (w które większości zapewne nigdy nie zagram) zasilają kolejne tytuły. Od jakiegoś czasu jednym z głównych gier regularnie zasila Epic, a to wszystko dzięki regularnie udostępnianym gratisom. Wczoraj w aplikacji Epic Games pojawiła się informacja, że przez najbliższe dni (od 28 kwietnia do 21 maja) odbierać bezpłatne gry będą mogli tylko użytkownicy z aktywnym logowaniem dwuetapowym (2FA).

Kasowanie wielu rekordów DNS w Cloudflare za pomocą ich API i skryptu Bash (pętla while)

Kilka dni temu na DNSy Cloudflare przenosiłem domenę nowego klienta. Niby standard, bo jest to operacja, którą wykonuję przynajmniej kilka razy w miesiącu. Tym razem jednak trafiła się niespodzianka w postaci zaciągniętych ponad 500 rekordów DNS „ze starych” DNSów. I może nie byłoby to problemem, gdyby nie fakt, że w Cloudflare – tak jak i w wielu innych miejscach/serwisach – nie ma możliwości zbiorczego zarządzania (w tym kasowania) rekordów w DNSach. Przynajmniej jeśli chodzi o panel zarządzania kontem/domeną…

Na Twitterze pojawiła się opcja aktywacji dwuskładnikowego uwierzytelnienie (2FA) z wykorzystaniem aplikacji uwierzytelniającej

Choć zapewne nie jestem modelowym użytkownikiem mediów społecznościowych (w ogóle nie rozumiem, po co używać np. Facebooka w celach prywatnych, niezwiązanych z biznesową promocją) to najbliżej mi chyba do Twittera. Tak, tam też trafiają się zdjęcia kotków, czy relacje z kolejnego posiłku, ale mam wrażenie, że jest tego mniej. Jednak tego typu elementy zdecydowanie lepiej „żrą” na Facebooku czy Instagramie. Twitter, bo po odpowiedniej „konfiguracji źródeł” jest to relatywnie dobre źródło informacji o tym, co się dzieje na świecie. I choć konto na Twitterze nie jest czymś, co teoretycznie powinienem specjalnie chronić, to jednak w ramach ogólnej polityki bezpieczeństwa uważam, że warto chronić nawet mniej istotne punkty, bo mogą one być punktem wyjścia do dalszego ataku…

Własne strony błędów (custom pages) w Cloudflare (tylko) dla użytkowników usługi w wersji płatnej

O usłudze Cloudflare wielokrotnie, zazwyczaj starając się w danym poradniku opierać na możliwościach usługi w wersji bezpłatnej. Tym razem będzie inaczej – by skorzystać przedstawianych tu informacji, należy dla danej domeny mieć aktywny przynajmniej plan „pro”, kosztujący 20 $ miesięcznie. I tego nie przeskoczymy.

Tryb awaryjny w WordPressie (5.2+), czyli awaryjny dostęp do panelu zarządzania (WP-Admin), gdy coś pójdzie nie tak (zamiast WSoD)

WordPress 5.2 (Jaco) przyniósł nam nie tylko mechanizm sprawdzający stan witryny (niedawno pisałem, jak go troszkę w razie potrzeby „oszukać”), ale też tryb awaryjny (recovery mode), który w przypadku usterki/błędu wtyczki lub motywu pozowała uzyskać dostęp do panelu zarządzania (WP-Admin), by spróbować odratować stronę…

Sprawdź, czy ostatnie naruszenie bezpieczeństwa na Facebooku (nie) dotyczy (również) Twojego konta

Facebook nie ma ostatnio dobrej passy – jak nie jakiś skandal z wykorzystywaniem danych użytkowników, to problem(y) z bezpieczeństwem. Ostatnio Facebook musiał zresetować tokeny dostępu do prawie 90 milionów kont, co od strony użytkownika objawiło się koniecznością ponownego logowania do serwisu. Przynajmniej u tych użytkowników, których (potencjalnie) dotknął problem…

Przekazywanie dynamicznego adresu IP do serwera, np. by ustawić wyjątek dla uwierzytelnienia dwuskładnikowego (2FA) dla połączenia SSH

Kilka dni temu, w artykule o moim nowym internecie podstawowym (Internet na Kartę w Play) wspomniałem, że po kilku latach, brak stałego i publicznego adresu IP jest dla mnie większym utrudnieniem niż „skacząca prędkość”, czy w ogóle zanikający od czasu do czasu transfer. Dlatego uznałem, że muszę wdrożyć jakieś dodatkowe mechanizmy, które pozwolą mi zniwelować minusy wynikające z dynamicznie przydzielanego adresu IP…

Raport ZBP – Cyberbezpieczny portfel, i moja mała polemika na temat pozytywnych aspektów regularnej zmiany haseł (nie tylko) do bankowości internetowej

Kilka dni temu trafiłem na raport ZBP (Związek Banków Polskich) pod tytułem „cyberbezpieczny portfel” (czerwiec 2018). I choć uważam, że z raportem warto się zapoznać, być może nawet ktoś wyciągnie z jakieś wnioski, które wpłyną pozytywnie na jego bezpieczeństwo w internecie, to… z jednym zagadnieniem wejdę w polemikę…

Konfiguracja serwera VPS z Debian 9 jako serwer WWW, z wykorzystaniem niestandardowych źródeł pakietów

Przedwczoraj z HitMe.pl dotarła do mnie informacja, że matka serwera VPS na którym działa(ł) Webinsider.pl powoli zmierza na emeryturę (choć może dostanie pewnie jakieś zajęcie, by się nie nudziła ;-)), w związku z tym dostałem propozycję nowego serwera VPS. Oprócz tego, że oznacza to więcej mocy (więcej RAMu, więcej CPU, i dysk SSD do tego) to również przy tej okazji zmienił się typ wirtualizacji –  z XEN na KVM. W związku z tym uznałem, że choć mógłbym spróbować dokonać migracji za pomocą SSH i Rsync, to postanowiłem, że skonfiguruję środowisko (web) serwera ręcznie, przy okazji robiąc notatki do nowej wersji artykułu na ten temat…

Obrazek śledzący (piksel) i Log Analytics w Matomo (Piwik), czyli alternatywne sposoby monitorowania ruchu na stronie

Do monitorowania aktywności na stronach internetowych (ale nie tylko na stronach, bo też np. aplikacjach mobilnych) korzystam ze statystyk. Oczywiście Google Analytics, które stały się niejako rynkowym standardem, a w połączeniu z Google Tag Manager można tutaj działać istne cuda. Ale oprócz GA korzystam od niedawna ze statystyk Yandex Metrica (punkt odniesienia), oraz – to już od bardzo dawna – Matomo (do niedawna Piwik), które służą nie tylko za punkt odniesienia, ale i całkiem silne uzupełnienie GA, zwłaszcza pod względem elementów niezależnych od (blokowania) JavaScript…

Jeśli korzystasz z Authy, to może zainteresuje Cię oficjalna (i samodzielna) aplikacja Authy na komputer

Z podwójnego uwierzytelnienia (2FA) staram się korzystać gdzie się tylko da, i  ze względów chyba dość oczywistych, moim podstawowym partnerem w tym jest aplikacja na telefonie, która odpowiada za generowanie kodów jednorazowych (programowy token). Dawno, dawno temu używałem aplikacji Google Authenticator, która wprawdzie wizualnie może i się (trochę) zmienia, to brakuje jej choćby takiej podstawowej funkcjonalności jak kopie zapasowe czy synchronizacja między urządzeniami – w przypadku utraty telefonu tracimy automatycznie wszystkie tokeny. I to mimo, że aplikacja jest od Google, a więc aż by się prosiło zintegrować ją z kontem Google.
Dlatego równie dawno temu przerzuciłem się na Authy, które oprócz aplikacji na telefon ma wtyczkę do przeglądarki Chrome, a od niedawna również samodzielną aplikację na komputer…

Gorące migawki (live snapshot) w DigitalOcean, czyli kopie zapasowe bez wyłączania serwera

Jeszcze kilka dni temu na większości serwerów w DigitalOcean miałem aktywną usługę kopii zapasowych, za którą od 1 lutego dopłacałem 20% ceny serwera miesięcznie (4 x 5%). Oczywiście oprócz tego stosuje dodatkowe metody zabezpieczające zarówno serwer jak i strony, m.in. kopie zapasowe plików/baz na S3, czy tzw. migawki (snapshot) dostępne bezpośrednio z panelu zarządzania VPSem.
Migawki są dość podobne do zintegrowanej usługi kopii zapasowej (BackUp), z tym, że o ile BackUp jest robiony automatycznie, trochę niezależnie od nas – raz w tygodniu – to w przypadku migawek to my sami wybieramy kiedy chcemy wykonać kopie serwera, a do tego (nadal) są bezpłatne – zarówno wykonanie, jak i przechowywanie na koncie.
Ktoś mógłby zapytać – po co w takim razie usługa BackUp, która nie dość, że jest płatna, to jeszcze wykonywana w terminach nie do końca od nas zależny? Dlatego, że do kopii zapasowej nie trzeba wyłączać serwera, a do migawek trzeba… było.

Potwierdzenie od Google, czyli dwuskładnikowe uwierzytelnienie bez kodu z tokena lub SMSa

Nie będę tu powalił kolejny raz powielał informacji o tym co to jest dwuskładnikowe uwierzytelnienie (2FA), ani tym bardziej dlaczego warto z niego korzystać, bo to zapewne wszyscy nasi czytelnicy wiedzą… ;-)
W każdym razie firma Google „właśnie” (ponoć jeszcze nie na wszystkich kontach jest to dostępne, ale szybko się zmienia) dodała koleją opcję autoryzacji dwuskładnikowej – potwierdzenie (tak, nie) z poziomu skonfigurowanego telefonu z systemem Android (z iOS też, choć tylko na iPhone 5s lub nowszych, i trzeba zainstalować aplikację Google w telefonie), dzięki czemu nie trzeba już podawać kodu z tokena/SMSa.

Logowanie przez SSH/SCP z wykorzystaniem kodów jednorazowych Google Authenticator

Po pewnej przerwie wracam(y) do tematów związanych – mniej lub bardziej bezpośrednio – z bezpieczeństwem (zabezpieczaniem) serwerów (dedykowane, VPS, Raspberry Pi).
W tym wpisie postaram się pokazać, jak można zabezpieczyć proces logowania do systemu przez SSH/SCP za pomocą dodatkowego składnika uwierzytelniającego – jednorazowego kodu generowanego przez programowy token, który będzie wymagany do za zalogowania się do systemu (oczywiście oprócz loginu i hasła).

Loading

Promocja własna

WordPress: Pierwsze kroki

Promocja własna

WordPress: Pierwsze kroki

Promocja własna

Wdrożenie Omnibusa w sklepie na WooCommerce

Pin It on Pinterest