蘋果打算在 iOS 9 與 OS X El Capitan 引入 2FA 登入機制:「Apple Adds Two Factor Authentication to OS X and iOS」。
在蘋果的「Two-Factor Authentication in iOS 9 and OS X El Capitan」有詳細說明。
等實際推出的時候再來看看用起來如何...
Tag: login
使用者登入時的錯誤訊息
在「“Invalid Username or Password”: a useless security measure」這篇文章裡談到了使用者登入錯誤時的提示訊息。
通常為了安全考量,「沒有這個帳號」與「密碼錯誤」,我們會給出一樣的錯誤訊息,避免攻擊者可以猜測。像是 Amazon 的畫面:
這樣設計的前提是讓攻擊者不知道這個帳號是不是存在 (如果不存在的話就換其他帳號繼續攻擊)。但這個假設通常是錯的,因為大多數的系統一個 e-mail 綁定一個帳號,所以註冊時就可以分辨:
因此應該提供正確的訊息,而非將資訊隱蔽起來。
Facebook 官方提供 WiFi 登入綁 Facebook 的服務...
記得前陣子在 Twitter 上看到有人想要用 Twitter 認證使用者的消息,結果前幾天就看到 Facebook 提供官方版本:「Get Facebook Wi-Fi for Your Business」。
在「Set Up Facebook Wi-Fi for Your Business」有提到目前有這些產品可以支援:
不過,感覺好像有很多洞可以鑽... Facebook 用了大量的 Akamai 加速,除非在這些頁面特殊處理過 (把檔案都放到固定 IP 上),不然應該是不太容易做到?