Home » Posts tagged "2fa"

把主力手機從 iPhone 換到 Android

上次主力用 Android 應該是 HTC Desire 時代了,那個時候跑得是 2.2。

總算把 LG G2 (D802) 刷完機器了 (刷了半年,每次都卡關 XDDD),這次刷了 CyanogenModOpen GApps,儘量都用 command line 來刷。

adb devices # 看裝置順便打 RSA public key 進去
adb shell # 進去後可以 ls/su 看一看
adb push filename.zip /sdcard/
adb reboot recovery

Android Marshmallow (6.0) 另外多了對權限的管理,這也是想刷到 6.0 的原因之一,使用者可以隨時 revoke 掉某些權限 (沒有處理好的會 crash XD):

Android Marshmallow introduces a redesigned application permission model: there are now only eight permission categories, and applications are no longer automatically granted all of their specified permissions at installation time. An opt-in system is now used, in which users are prompted to grant or deny individual permissions (such as the ability to access the camera or microphone) to an application when they are needed for the first time. Applications remember the grants, which can be revoked by the user at any time.

其他安裝的流程主要都是苦工了,尤其是 2FA 是少數為了安全性只能一個一個換的東西 (不提供 export,都是用手機提供的 HSM 避免被盜走),剛好趁機會把自己與公司用到的 2FA 帳號分開。

Android 上的 Google Authenticator 不怎麼好用 (不能調整位置,另外不希望隨時都給密碼),測了測 Red Hat 出的 FreeOTP Authenticator 算是比較好用的,就把 FreeOTP Authenticator 拿來給個人用,Google Authenticator 拿來給公司的帳號用。

繼續熟悉現在的 Android 環境,應該會有一陣子不習慣...

Linode 針對 2015 年的安全問題,以及 2016 年年初密碼重設行為的說明

Linode 寫了相當長的一篇報告說明 2015 發生的兩件安全事件,以及 2016 年年初重設密碼的行為:「Security Investigation Retrospective」。

結論是 Linode 沒有找出證據被攻破,但還是打算改善不少東西以確保安全性。

2015 年七月曾經有一個 Linode 的客戶報案,並且向 Linode 回報帳號被入侵的問題,而後來發現是客戶帶有 2FA 資訊的手機遺失。

2015 年十二月有個資安專家在分析時發現有人取得了許多服務的帳號密碼,其中有可能有 Linode 的使用者使用相同的密碼,所以通報 Linode 並且提供一些 IP 資訊,Linode 調查後發現提供的 IP 資訊有登入到 Linode 上的帳號,而這些帳號也的確都沒有啟用 2FA,而且詢問這些帳號的主人也確認了被盜用的情況。

接下來 Linode 還是決定投入資源繼續研究問題,尋找外部的資安團隊來確認情況,最後得到上面提到的結論:沒有找出證據被入侵:

The findings of our security partner’s investigation concluded there was no evidence of abuse or misuse of Linode’s infrastructure that would have resulted in the disclosure of customer credentials. Furthermore, the security partner’s assessment of our infrastructure and applications did not yield a vector that would have provided this level of access.

在 Lish 上有發現問題,但沒有找出被使用的證據:

Linode’s security team did discover a vulnerability in Lish’s SSH gateway that potentially could have been used to obtain information discovered on December 17, although we have no evidence to support this supposition. We immediately fixed the vulnerability.

不過 Linode 還是決定把一些架構改掉,可以在原文看到。

可以看到打算規劃類似 HSM 架構的設計,,避免密碼直接被存取。把密碼從 Salt + SHA256 (以及千次運算) 轉移到 bcrypt。然後把 ColdFusion 寫的系統改用 Python 寫。並且計畫把後台 open source 出來,讓更多人可以檢視確保安全性。

Archives