Slack 密碼外洩

Slack 由於發現密碼外洩,剛剛發佈了資安通報:「March 2015 Security Incident and the Launch of Two Factor Authentication」。

這次也因此推出了兩個功能:

  • Two Factor Authentication (2FA),使用者可以設定 2FA 登入。
  • Password Kill Switch,管理者可以強制重設所有人的密碼。

另外也透漏使用 bcrypt 為密碼演算法,只要密碼強度夠強,即使透漏出去應該也是不會有問題 (當然換掉還是比較好)。

Heroku 創辦人 Adam Wiggins 寫的 The Twelve-Factor App

先前在看一些 open source 的 PaaS 文件時看到 Adam Wiggins (Heroku 的創辦人) 寫的「The Twelve-Factor App」。

裡面其實就是 Heroku 對上面跑的 app 的要求,以及 Heroku 在設計產品時的想法,所以跟 Heroku 業務沒有關係的部份也大多都沒寫到 :p

拿來參考與理解想法是 okay 的,但如果要完全照著上面的方法做就未必了。

AWS 推出信用卡式的 MFA

AWS 推出信用卡式的 MFA:「A Convenient New Hardware MFA Form Factor」。

一樣是跟 Gemalto 合作。相較於之前掛在鑰匙圈上變得更容易收納 (可以放到皮夾內):

實體的 OTP 還是比 app 形式的安全強度好,變成信用卡形式後應該再弄一片來玩玩...

蘋果的 Two-Factor Authentication...

在「Apple Adds Two-Factor Authentication to iTunes Accounts」看到蘋果支援 Two-Factor Authentication。蘋果官方的 KB 在「Apple ID: Frequently asked questions about two-step verification for Apple ID」這邊。

看說明是透過簡訊進行認證,類似於 Facebook 的方式。不過拿了自己的帳號測試發現還看不到這個選項,應該是全球逐步開放?