login

Home » Posts tagged "login"

把 FreeOTP 搞掛了，只好換一套...

再弄 WordPress 的 U2F 時發現他也可以共存其他 2FA 機制 (也就是可以挑一種方式當 2FA，像是 TOTP)，就開始重設 OTP...

結果手賤把 FreeOTP 的 ' 改成 ' (因為看起來不順眼 XD)，就遇到「FreeOTP stuck crashing at startup if name contains certain characters · Issue #100 · freeotp/freeotp-ios」這個問題，結果 FreeOTP 直接閃退開不起來，而且沒有 workaround 的方式存取其他的 OTP token...

找了一下替代方案，目前先用「mattrubin/Authenticator: Two-Factor Authentication Client for iOS」這套了，要注意有同名而且界面很像的 app 在上面，要確認作者名稱...

然後接下來就是一連串 reset 2FA token 的步驟了，有些當初沒有留 backup code 超麻煩 @_@

October 24, 2018 Gea-Suan LinComputer, Murmuring, Security, SoftwareNo Comment

把 Trac 改成 Form Login 後 XMLRPC 不會動的問題...

我自己再用的 Trac 本來是走 HTTP 的 Authorization header 登入，但這樣每次重開瀏覽器就要登入一次，覺得麻煩... 就想要找套件改成用 HTML form login。

目前比較有在維護的應該是 AccountManagerPlugin 這套，內建就支援本機密碼，也支援 plugin 掛其他外部服務進去。

但掛進去後發現本來的自動開票機 (i.e. 用 crontab 開票) 就沒辦法登入了，最後找到得用 HttpAuthPlugin 處理。這個套件一開頭就寫了他也是為了 XmlRpcPlugin 而寫的：

This plugin allows you to protect certain paths with HTTP authentication. The AccountManagerPlugin is used to check passwords.
Primarily this is meant to be used with the XmlRpcPlugin, so it will work while using AccountManager's form-based logins.

就是遇到同樣的問題...

October 6, 2018 Gea-Suan LinComputer, Murmuring, Network, Service, SoftwareNo Comment

強制關閉 Google Chrome 的登入功能

最近吵的蠻凶的一個話題... 當你在 Google Chrome 瀏覽器內登入 Google 帳號後 (像是 Gmail)，你的 Google Chrome 就會自動也一起登入了。

官方目前拒絕承認這是個錯誤的設計，所以現在大家都在找 workaround 解。目前看到比較好的方式是這篇，提供了設定方式 (包括 Windows 與 Mac 平台)：「Disable Google Chrome Sign In and Sync」。

裡面有兩個步驟，第一個 SyncDisabled 設為 true 是把同步功能關掉，第二個 RestrictSigninToPattern 設為 .*@example.com 是把同時登入功能限制在 example.com 上，而這個 domain 則是在 RFC 2606 (Reserved Top Level DNS Names) 被保護起來，不開放任何單位註冊，也就是讓 Chrome 不可能找到符合的條件。

另外一個方法是跳到 Firefox，但順暢度應該還是目前最主要的障礙吧...

September 25, 2018 Gea-Suan LinBrowser, Computer, GoogleChrome, Murmuring, Network, Privacy, Security, Service, Software2 Comments

Twitter 支援 HOTP-based 2FA 登入了

在 Twitter 上看到他們自家更新了 2FA 的機制，除了本來的 in-app verification 外，也提供常見的 HOTP 了：(掃 QR code，然後會產生六碼數字的那種)

We’re rolling out an update to login verification.
You’ll now be able to use a third party app for two-factor authentication instead of SMS text messages.https://t.co/UXl3xKLEaG
— Twitter Safety (@TwitterSafety) December 20, 2017

在上面的「How to use login verification」連結可以看到 HOTP 的設定方式：

[...]
You will see a pop-up window displaying a QR code. Follow the instructions listed.
To set up the third-party authenticator app, you will need to scan the QR code. You will then see a 6-digit numeric security code.
Enter this code in the Security code text field in the pop-up window.
Click Done.

還是可以選擇本來的方式以及簡訊，現在則是多了個選擇...

December 22, 2017 Gea-Suan LinComputer, Murmuring, Network, Security, Service, SocialNo Comment

Cloudflare 總算支援 TOTP 了

Cloudflare 宣佈支援 TOTP 形式的 OTP 了：「You can now use Google Authenticator and any TOTP app for Two-Factor Authentication」。

這樣可以重設然後把 Authy 砍掉了，這樣就不用把 OTP 的 secret data 放在別人家了 :o

February 18, 2017 Gea-Suan LinCDN, Cloud, Computer, Murmuring, Network, Security1 Comment

Facebook 支援 U2F 登入...

Facebook 也支援 U2F (Universal 2nd Factor) 了：「Security Key for safer logins with a touch」。

之前買 Yubico 的 Yubikey 好像不支援 U2F (很久前買的版本)，好像該買幾顆玩具看看了... 剛剛翻了翻 Amazon，好像不少家都有支援 U2F，也許不一定要買 Yubico 的產品 :o

January 27, 2017 Gea-Suan LinComputer, Hardware, Murmuring, Network, Security3 Comments

Firefox 46 Dev 版本將會再加上對非 HTTPS 頁面的警示

Firefox 46 的開發版本將會對非 HTTPS 頁面加上警示：「Login Forms over HTTPS, Please」。

技術上來說，是當偵測到頁面上有 input type="password" 的元素時會加上不安全的 icon：

When a page with a password field is not delivered securely, Firefox displays a lock with a red strikethrough in the address bar[.]

不過看起來是在試水溫，沒有打算在正式版本開起來：

There are no current plans to show these warnings to users of Beta and general release Firefox.

這樣就有點可惜了...

January 31, 2016 Gea-Suan LinBrowser, Computer, Firefox, Murmuring, Network, Security, Software, WWWNo Comment

蘋果規劃在 iOS 9 與 OS X El Capitan 引入 2FA 登入機制

蘋果打算在 iOS 9 與 OS X El Capitan 引入 2FA 登入機制：「Apple Adds Two Factor Authentication to OS X and iOS」。

在蘋果的「Two-Factor Authentication in iOS 9 and OS X El Capitan」有詳細說明。

等實際推出的時候再來看看用起來如何...

July 10, 2015 Gea-Suan LinComputer, MacOS, Murmuring, Network, OS, Security, Software, TelephoneNo Comment

使用者登入時的錯誤訊息

在「“Invalid Username or Password”: a useless security measure」這篇文章裡談到了使用者登入錯誤時的提示訊息。

通常為了安全考量，「沒有這個帳號」與「密碼錯誤」，我們會給出一樣的錯誤訊息，避免攻擊者可以猜測。像是 Amazon 的畫面：

這樣設計的前提是讓攻擊者不知道這個帳號是不是存在 (如果不存在的話就換其他帳號繼續攻擊)。但這個假設通常是錯的，因為大多數的系統一個 e-mail 綁定一個帳號，所以註冊時就可以分辨：

因此應該提供正確的訊息，而非將資訊隱蔽起來。

December 3, 2014 Gea-Suan LinComputer, Mail, Murmuring, Network, Security, WWW1 Comment

Facebook 官方提供 WiFi 登入綁 Facebook 的服務...

記得前陣子在 Twitter 上看到有人想要用 Twitter 認證使用者的消息，結果前幾天就看到 Facebook 提供官方版本：「Get Facebook Wi-Fi for Your Business」。

在「Set Up Facebook Wi-Fi for Your Business」有提到目前有這些產品可以支援：

Meraki wireless products
Cisco ISR G2 and ASR 1000 Series routers
NETGEAR R6300 Smart WiFi router

不過，感覺好像有很多洞可以鑽... Facebook 用了大量的 Akamai 加速，除非在這些頁面特殊處理過 (把檔案都放到固定 IP 上)，不然應該是不太容易做到？

January 12, 2014 Gea-Suan LinComputer, Hardware, Murmuring, NetworkNo Comment

Recent Comments

Archives

Blogroll