幹壞事是進步最大的原動力
看到「Disable SMS or voice codes for 2-Step Verification for more secure accounts」這邊的說明,G Suite 的管理員可以將 SMS 與 Voice 強制關閉 (也就是不認為這兩個管道是安全的 2FA)。
主要是因為行動網路一直都不怎麼安全,像是 GPRS 與 3G network 使用的 KASUMI,或是 downgrade attack (用 2G network)。
目前 G Suite 登入有提供的 2FA 除了上面這兩個以外,應該還有 TOTP 與 U2F 類的認證方式,這次影響最大的應該是堅持用非智慧型手機的人?這種:
Flickr 在被 SmugMug 收購後就開始在整理架構,其中一塊是把本來綁定 Yahoo! 的登入拿掉,現在官方推出計畫了:「Flickr login freedom is here.」。
不過不是所有人都馬上可以用,而是逐步開放給使用者:
The first page of the login experience has already been updated with a new look, but you will continue to log in to your Flickr account with your Yahoo credentials as you always have until the rollout reaches you.
來繼續等...
在「Android Gets FIDO2 Certification—Now Supports Secure Passwordless Logins」這邊看到 Android 7.0 支援 FIDO2 了:
If you have already installed the latest update of Google Play Services released earlier today, and your Android device is running Android version 7.0 Nougat or above—Congratulations! Your device is now FIDO2 Certified.
所以在 browser 有配合的情況下,可以用手機當作 MFA,而且 anti-phishing...
再弄 WordPress 的 U2F 時發現他也可以共存其他 2FA 機制 (也就是可以挑一種方式當 2FA,像是 TOTP),就開始重設 OTP...
結果手賤把 FreeOTP 的 ' 改成 ' (因為看起來不順眼 XD),就遇到「FreeOTP stuck crashing at startup if name contains certain characters · Issue #100 · freeotp/freeotp-ios」這個問題,結果 FreeOTP 直接閃退開不起來,而且沒有 workaround 的方式存取其他的 OTP token...
找了一下替代方案,目前先用「mattrubin/Authenticator: Two-Factor Authentication Client for iOS」這套了,要注意有同名而且界面很像的 app 在上面,要確認作者名稱...
然後接下來就是一連串 reset 2FA token 的步驟了,有些當初沒有留 backup code 超麻煩 @_@
我自己再用的 Trac 本來是走 HTTP 的 Authorization header 登入,但這樣每次重開瀏覽器就要登入一次,覺得麻煩... 就想要找套件改成用 HTML form login。
目前比較有在維護的應該是 AccountManagerPlugin 這套,內建就支援本機密碼,也支援 plugin 掛其他外部服務進去。
但掛進去後發現本來的自動開票機 (i.e. 用 crontab 開票) 就沒辦法登入了,最後找到得用 HttpAuthPlugin 處理。這個套件一開頭就寫了他也是為了 XmlRpcPlugin 而寫的:
This plugin allows you to protect certain paths with HTTP authentication. The AccountManagerPlugin is used to check passwords.
Primarily this is meant to be used with the XmlRpcPlugin, so it will work while using AccountManager's form-based logins.
就是遇到同樣的問題...
最近吵的蠻凶的一個話題... 當你在 Google Chrome 瀏覽器內登入 Google 帳號後 (像是 Gmail),你的 Google Chrome 就會自動也一起登入了。
官方目前拒絕承認這是個錯誤的設計,所以現在大家都在找 workaround 解。目前看到比較好的方式是這篇,提供了設定方式 (包括 Windows 與 Mac 平台):「Disable Google Chrome Sign In and Sync」。
裡面有兩個步驟,第一個 SyncDisabled 設為 true 是把同步功能關掉,第二個 RestrictSigninToPattern 設為 .*@example.com 是把同時登入功能限制在 example.com 上,而這個 domain 則是在 RFC 2606 (Reserved Top Level DNS Names) 被保護起來,不開放任何單位註冊,也就是讓 Chrome 不可能找到符合的條件。
另外一個方法是跳到 Firefox,但順暢度應該還是目前最主要的障礙吧...
在 Twitter 上看到他們自家更新了 2FA 的機制,除了本來的 in-app verification 外,也提供常見的 HOTP 了:(掃 QR code,然後會產生六碼數字的那種)
We’re rolling out an update to login verification.
You’ll now be able to use a third party app for two-factor authentication instead of SMS text messages.https://t.co/UXl3xKLEaG
— Twitter Safety (@TwitterSafety) December 20, 2017
在上面的「How to use login verification」連結可以看到 HOTP 的設定方式:
還是可以選擇本來的方式以及簡訊,現在則是多了個選擇...
Cloudflare 宣佈支援 TOTP 形式的 OTP 了:「You can now use Google Authenticator and any TOTP app for Two-Factor Authentication」。
這樣可以重設然後把 Authy 砍掉了,這樣就不用把 OTP 的 secret data 放在別人家了 :o
Facebook 也支援 U2F (Universal 2nd Factor) 了:「Security Key for safer logins with a touch」。
之前買 Yubico 的 Yubikey 好像不支援 U2F (很久前買的版本),好像該買幾顆玩具看看了... 剛剛翻了翻 Amazon,好像不少家都有支援 U2F,也許不一定要買 Yubico 的產品 :o
Firefox 46 的開發版本將會對非 HTTPS 頁面加上警示:「Login Forms over HTTPS, Please」。
技術上來說,是當偵測到頁面上有 input type="password" 的元素時會加上不安全的 icon:
When a page with a password field is not delivered securely, Firefox displays a lock with a red strikethrough in the address bar[.]
不過看起來是在試水溫,沒有打算在正式版本開起來:
There are no current plans to show these warnings to users of Beta and general release Firefox.
這樣就有點可惜了...
