Tag: token
Wszystkie
Najnowsze
Eksport kluczy (tokenów) 2FA/TOTP z usługi Authy, z wykorzystaniem Authy Desktop i narzędzi dla deweloperów
Po artykule na temat usługi Bitwarden (menedżer haseł, z którego korzystam) dostałem całkiem sporo zapytań m.in. od znajomych o tę usługę. Ale to, co mnie zaskoczyło chyba najbardziej, to to, że dominującym argumentem nawet nie do samego korzystania z Bitwardena, ale od razu do przejścia na wersję płatną dla moich rozmówców okazała się opcja dostępu awaryjnego, o której wspomniałem trochę przy okazji (dla mnie – głównie ze względów zawodowych – to bardzo ważna opcja, z której korzystam po to, by „w razie czego” zabezpieczyć m.in. interesy swoich klientów). A skoro już ktoś zdecydował się na wersję płatną usługi Bitwarden, to bardzo możliwe, że zdecyduje się korzystać z niej również do generowania kodów jednorazowych 2FA/TOTP (Time-based One-Time Password).
Bitwarden to świetny menedżer haseł, który nawet w najlepszej cenie z najlepszych, czyli darmowej, jest więcej niż wystarczający
Wczoraj pojawiła się informacja, że od 16 marca usługa menedżera haseł Last Pass w wersji darmowej stanie się dość mało użyteczna, bo będzie działać tylko na jednym urządzeniu, czyli bez synchronizacji między różnymi urządzeniami. Może są osoby, dla których będzie to zmiana (relatywnie) mało odczuwalna, ale raczej większość będzie musiała albo przejść na wersję płatną, lub poszukać alternatywy. I nie mam na myśli KeePass (KeepassXC), chyba że ktoś jest nie tylko masochistą, co lubi sobie utrudniać życie (synchronizacja pliku z hasłami między urządzeniami), ale też i hazardzistą, liczącym na to, że to będzie zawsze działać. Nie mówiąc już o tym, że niezłym wyzwaniem jest wyjaśnienie przeciętnemu użytkownikowi komputera/internetu jak to ma działać… ;-)
Bezpieczne (za)granie, czyli logowanie dwuetapowe wymagane do odbioru bezpłatnych gier w Epic Games
Wprawdzie gram rzadziej niż rzadko, to regularnie moją kolekcję gier (w które większości zapewne nigdy nie zagram) zasilają kolejne tytuły. Od jakiegoś czasu jednym z głównych gier regularnie zasila Epic, a to wszystko dzięki regularnie udostępnianym gratisom. Wczoraj w aplikacji Epic Games pojawiła się informacja, że przez najbliższe dni (od 28 kwietnia do 21 maja) odbierać bezpłatne gry będą mogli tylko użytkownicy z aktywnym logowaniem dwuetapowym (2FA).
Kasowanie wielu rekordów DNS w Cloudflare za pomocą ich API i skryptu Bash (pętla while)
Kilka dni temu na DNSy Cloudflare przenosiłem domenę nowego klienta. Niby standard, bo jest to operacja, którą wykonuję przynajmniej kilka razy w miesiącu. Tym razem jednak trafiła się niespodzianka w postaci zaciągniętych ponad 500 rekordów DNS „ze starych” DNSów. I może nie byłoby to problemem, gdyby nie fakt, że w Cloudflare – tak jak i w wielu innych miejscach/serwisach – nie ma możliwości zbiorczego zarządzania (w tym kasowania) rekordów w DNSach. Przynajmniej jeśli chodzi o panel zarządzania kontem/domeną…
Na Twitterze pojawiła się opcja aktywacji dwuskładnikowego uwierzytelnienie (2FA) z wykorzystaniem aplikacji uwierzytelniającej
Choć zapewne nie jestem modelowym użytkownikiem mediów społecznościowych (w ogóle nie rozumiem, po co używać np. Facebooka w celach prywatnych, niezwiązanych z biznesową promocją) to najbliżej mi chyba do Twittera. Tak, tam też trafiają się zdjęcia kotków, czy relacje z kolejnego posiłku, ale mam wrażenie, że jest tego mniej. Jednak tego typu elementy zdecydowanie lepiej „żrą” na Facebooku czy Instagramie. Twitter, bo po odpowiedniej „konfiguracji źródeł” jest to relatywnie dobre źródło informacji o tym, co się dzieje na świecie. I choć konto na Twitterze nie jest czymś, co teoretycznie powinienem specjalnie chronić, to jednak w ramach ogólnej polityki bezpieczeństwa uważam, że warto chronić nawet mniej istotne punkty, bo mogą one być punktem wyjścia do dalszego ataku…
Własne strony błędów (custom pages) w Cloudflare (tylko) dla użytkowników usługi w wersji płatnej
O usłudze Cloudflare wielokrotnie, zazwyczaj starając się w danym poradniku opierać na możliwościach usługi w wersji bezpłatnej. Tym razem będzie inaczej – by skorzystać przedstawianych tu informacji, należy dla danej domeny mieć aktywny przynajmniej plan „pro”, kosztujący 20 $ miesięcznie. I tego nie przeskoczymy.
W Hitme.pl pojawiła się autoryzacja dwuskładnikowa (2FA) do panelu klienta (teraz czekam na panel zarządzania VPSami :-))
Jest gorącym zwolennikiem autoryzacji dwuskładnikowej (2FA), przynajmniej tam, gdzie autoryzacja opiera się na nazwie użytkownika i haśle, czyli elementach relatywnie stałych. Dostałem ostatnio cynk z Hitme.pl, że właśnie wprowadzili tego typu autoryzację dla swoich użytkowników. A, że z Hitme.pl korzystam na specjalnych warunkach (choć od tego czasu zmienił się serwer, na którym stoi strona), do tego zdarza mi się polecać ich usługi, to chyba warto wspomnieć o tym fakcie.
Tryb awaryjny w WordPressie (5.2+), czyli awaryjny dostęp do panelu zarządzania (WP-Admin), gdy coś pójdzie nie tak (zamiast WSoD)
WordPress 5.2 (Jaco) przyniósł nam nie tylko mechanizm sprawdzający stan witryny (niedawno pisałem, jak go troszkę w razie potrzeby „oszukać”), ale też tryb awaryjny (recovery mode), który w przypadku usterki/błędu wtyczki lub motywu pozowała uzyskać dostęp do panelu zarządzania (WP-Admin), by spróbować odratować stronę…
Motywy i wtyczki do WordPressa w Envato Elements (nadal) bez automatycznej i/lub wygodnej aktualizacji
O usłudze Envato Elements pisałem już kilkukrotnie, i nadal uważam, że dla kogoś, kto w codziennej pracy wykorzystuje różne cyfrowe dobra (grafiki i zdjęcia, fonty, muzykę, klipy wideo) jest to dobre rozwiązanie – za jedną relatywnie niewielką opłatę, mamy nielimitowany dostęp do wszystkich materiałów dostępnych w ramach oferty. Zarówno na potrzeby własnych projektów, jak i realizowanych dla klientów. W listopadzie oferta zyskała, i to nawet bardzo, bo pojawiła się muzyka i efekty dźwiękowe, dzięki czemu Envato Elements właśnie stało się dla mnie usługą komplementarną. Ale jest też jeden spory minus, związany z dostępnymi w ramach oferty wtyczkami i motywami do WordPressa…
Sprawdź, czy ostatnie naruszenie bezpieczeństwa na Facebooku (nie) dotyczy (również) Twojego konta
Facebook nie ma ostatnio dobrej passy – jak nie jakiś skandal z wykorzystywaniem danych użytkowników, to problem(y) z bezpieczeństwem. Ostatnio Facebook musiał zresetować tokeny dostępu do prawie 90 milionów kont, co od strony użytkownika objawiło się koniecznością ponownego logowania do serwisu. Przynajmniej u tych użytkowników, których (potencjalnie) dotknął problem…
Przekazywanie dynamicznego adresu IP do serwera, np. by ustawić wyjątek dla uwierzytelnienia dwuskładnikowego (2FA) dla połączenia SSH
Kilka dni temu, w artykule o moim nowym internecie podstawowym (Internet na Kartę w Play) wspomniałem, że po kilku latach, brak stałego i publicznego adresu IP jest dla mnie większym utrudnieniem niż „skacząca prędkość”, czy w ogóle zanikający od czasu do czasu transfer. Dlatego uznałem, że muszę wdrożyć jakieś dodatkowe mechanizmy, które pozwolą mi zniwelować minusy wynikające z dynamicznie przydzielanego adresu IP…
Raport ZBP – Cyberbezpieczny portfel, i moja mała polemika na temat pozytywnych aspektów regularnej zmiany haseł (nie tylko) do bankowości internetowej
Kilka dni temu trafiłem na raport ZBP (Związek Banków Polskich) pod tytułem „cyberbezpieczny portfel” (czerwiec 2018). I choć uważam, że z raportem warto się zapoznać, być może nawet ktoś wyciągnie z jakieś wnioski, które wpłyną pozytywnie na jego bezpieczeństwo w internecie, to… z jednym zagadnieniem wejdę w polemikę…
Konfiguracja serwera VPS z Debian 9 jako serwer WWW, z wykorzystaniem niestandardowych źródeł pakietów
Przedwczoraj z HitMe.pl dotarła do mnie informacja, że matka serwera VPS na którym działa(ł) Webinsider.pl powoli zmierza na emeryturę (choć może dostanie pewnie jakieś zajęcie, by się nie nudziła ;-)), w związku z tym dostałem propozycję nowego serwera VPS. Oprócz tego, że oznacza to więcej mocy (więcej RAMu, więcej CPU, i dysk SSD do tego) to również przy tej okazji zmienił się typ wirtualizacji – z XEN na KVM. W związku z tym uznałem, że choć mógłbym spróbować dokonać migracji za pomocą SSH i Rsync, to postanowiłem, że skonfiguruję środowisko (web) serwera ręcznie, przy okazji robiąc notatki do nowej wersji artykułu na ten temat…
Obrazek śledzący (piksel) i Log Analytics w Matomo (Piwik), czyli alternatywne sposoby monitorowania ruchu na stronie
Do monitorowania aktywności na stronach internetowych (ale nie tylko na stronach, bo też np. aplikacjach mobilnych) korzystam ze statystyk. Oczywiście Google Analytics, które stały się niejako rynkowym standardem, a w połączeniu z Google Tag Manager można tutaj działać istne cuda. Ale oprócz GA korzystam od niedawna ze statystyk Yandex Metrica (punkt odniesienia), oraz – to już od bardzo dawna – Matomo (do niedawna Piwik), które służą nie tylko za punkt odniesienia, ale i całkiem silne uzupełnienie GA, zwłaszcza pod względem elementów niezależnych od (blokowania) JavaScript…
Jeśli korzystasz z Authy, to może zainteresuje Cię oficjalna (i samodzielna) aplikacja Authy na komputer
Z podwójnego uwierzytelnienia (2FA) staram się korzystać gdzie się tylko da, i ze względów chyba dość oczywistych, moim podstawowym partnerem w tym jest aplikacja na telefonie, która odpowiada za generowanie kodów jednorazowych (programowy token). Dawno, dawno temu używałem aplikacji Google Authenticator, która wprawdzie wizualnie może i się (trochę) zmienia, to brakuje jej choćby takiej podstawowej funkcjonalności jak kopie zapasowe czy synchronizacja między urządzeniami – w przypadku utraty telefonu tracimy automatycznie wszystkie tokeny. I to mimo, że aplikacja jest od Google, a więc aż by się prosiło zintegrować ją z kontem Google.
Dlatego równie dawno temu przerzuciłem się na Authy, które oprócz aplikacji na telefon ma wtyczkę do przeglądarki Chrome, a od niedawna również samodzielną aplikację na komputer…
Gmvault, czyli prosty sposób na kopie zapasowe (a nawet migrację między kontami) poczty Gmail (i G Suite)
Jak ważne jest robienie kopii zapasowych (BackUp) sporo osób sobie uświadamia dopiero gdy znajdzie się w sytuacji, w której taka kopia by się przydała. Zazwyczaj tworzymy kopie zapasowe systemu, najważniejszych danych, może zdjęć z wakacji czy imienin cioci – ogólnie wszystkiego, co uznamy za ważne. Warto też pomyśleć o kopii zapasowej poczty e-mail, bo choć nie zanosi się by np. taki Gmail miał zniknąć, ale nigdy nic nie wiadomo (zawsze może też dojść do blokady konta).
Gorące migawki (live snapshot) w DigitalOcean, czyli kopie zapasowe bez wyłączania serwera
Jeszcze kilka dni temu na większości serwerów w DigitalOcean miałem aktywną usługę kopii zapasowych, za którą od 1 lutego dopłacałem 20% ceny serwera miesięcznie (4 x 5%). Oczywiście oprócz tego stosuje dodatkowe metody zabezpieczające zarówno serwer jak i strony, m.in. kopie zapasowe plików/baz na S3, czy tzw. migawki (snapshot) dostępne bezpośrednio z panelu zarządzania VPSem.
Migawki są dość podobne do zintegrowanej usługi kopii zapasowej (BackUp), z tym, że o ile BackUp jest robiony automatycznie, trochę niezależnie od nas – raz w tygodniu – to w przypadku migawek to my sami wybieramy kiedy chcemy wykonać kopie serwera, a do tego (nadal) są bezpłatne – zarówno wykonanie, jak i przechowywanie na koncie.
Ktoś mógłby zapytać – po co w takim razie usługa BackUp, która nie dość, że jest płatna, to jeszcze wykonywana w terminach nie do końca od nas zależny? Dlatego, że do kopii zapasowej nie trzeba wyłączać serwera, a do migawek trzeba… było.
Potwierdzenie od Google, czyli dwuskładnikowe uwierzytelnienie bez kodu z tokena lub SMSa
Nie będę tu powalił kolejny raz powielał informacji o tym co to jest dwuskładnikowe uwierzytelnienie (2FA), ani tym bardziej dlaczego warto z niego korzystać, bo to zapewne wszyscy nasi czytelnicy wiedzą… ;-)
W każdym razie firma Google „właśnie” (ponoć jeszcze nie na wszystkich kontach jest to dostępne, ale szybko się zmienia) dodała koleją opcję autoryzacji dwuskładnikowej – potwierdzenie (tak, nie) z poziomu skonfigurowanego telefonu z systemem Android (z iOS też, choć tylko na iPhone 5s lub nowszych, i trzeba zainstalować aplikację Google w telefonie), dzięki czemu nie trzeba już podawać kodu z tokena/SMSa.
Uwierzytelnienie dwuskładnikowe (2FA) w WordPressie, czyli jak prosto i szybko podnieść bezpieczeństwo logowania do panelu zarządzania WordPressem
Nie będę ukrywał, że chętnie korzystam z WordPressa (system CMS pod strony internetowe) i jestem wielkim zwolennikiem uwierzytelnienia dwuskładnikowego (2FA, czyli np. login i hasło + jednorazowy kod lub klucz), które staram się aktywować (prawie) wszędzie, gdzie mam taka możliwość. Dlatego dziś chciałbym pokazać jak w kilku prostych krokach aktywować uwierzytelnienie dwuskładnikowe w WordPressie.
Logowanie przez SSH/SCP z wykorzystaniem kodów jednorazowych Google Authenticator
Po pewnej przerwie wracam(y) do tematów związanych – mniej lub bardziej bezpośrednio – z bezpieczeństwem (zabezpieczaniem) serwerów (dedykowane, VPS, Raspberry Pi).
W tym wpisie postaram się pokazać, jak można zabezpieczyć proces logowania do systemu przez SSH/SCP za pomocą dodatkowego składnika uwierzytelniającego – jednorazowego kodu generowanego przez programowy token, który będzie wymagany do za zalogowania się do systemu (oczywiście oprócz loginu i hasła).
#AkcjaSpołeczna
Promocja własna
Najnowsze wpisy
Przegląd wybranych nowości w Tutor LMS 2.3.0: ochrona hotlink, blokada kopiowania treści i bezpośrednie odnośniki do kursów
BrewPiLess z iSpindel, czyli jeszcze bardziej szczegółowa kontrola i analiza procesu fermentacji (nie tylko) piwa domowego
Aplikacji DJI Fly – do obsługi dronów DJI – dla Androida, nie szukaj w Google Play, bo tam głównie lewizna, a na stronie DJI
Blokada adresów e-mail z wybranych domen w formularzu kontaktowym przygotowanym za pomocą wtyczki Contact Form 7 do WordPressa
Gdy dron DJI nie chce lecieć wyżej niż 30 metrów i/lub dalej niż 60 metrów, to najczęściej jest to jedna z tych 2 przyczyn
Promocja własna
Najpopularniejsze
Promocja własna