Glaubt nicht diese Behauptung. SMS ist gleich unsicher wie E-Mail - beides unnötige Risiken, da es gute Alterantiven gibt.
Wenn willhaben tatsächlich daran gelegen wäre, unsere Sicherheit zu verbessern, würden sie effektive und sichere Authentifizierungsverfahren wie #FIDO2 unterstützen anstatt Handynummern abzugreifen.
Mal sehen, wann die meine Handynummer durch Hacks/Leaks verlieren ...
Einmal mit #Followerpower ins Wochenende! Tootet/Postet euren Tipp zum Thema IT-Sicherheit oder Datenschutz. Kleiner Denkanstoß fürs Wochenende - vielleicht nimmt der ein oder andere eine schöne Idee bzw. Tipp mit. Gerne auch auf Projekte mit Links verweisen und eine kurze Beschreibung ergänzen. Danke euch! 🙏
@kuketzblog Einen #FIDO2 Hardware-Token sich selbst und den Liebsten schenken. Kostet nicht die Welt und ist aktuell das Einzige, das gegen #Phishing schützt und auch das Geheimnis.
PassKeys seem like a bad idea. Google backs them up to the cloud, so if your Google account is compromised then all your private keys are compromised. I don't see how that's an improvement over password+2FA at all.
Now security keys I get; keep the private key on an airgapped device. That's good. Hell I even keep my 2FA-OTP salts on a YubiKey.
The funniest part is that no matter how many security factors we use to replace passwords (two factor auth, passkeys, security keys, etc) there's always a backup that's just another password.
"#Apple Keychain has personally wiped out all my #Passkeys on three separate occasions. There are external reports we have received of other users who's #Keychain Passkeys have been wiped just like mine."
"At this point I think that Passkeys will fail in the hands of the general consumer population."
My conclusion would be different though. Instead of going back to classic #passwords, I recommend using #FIDO2 hardware tokens wherever you can as 2nd factor.
First screenshot is the real PIN prompt, second one is a JavaScript prompt() with a custom prompt text.
The only differences are:
• PIN dialog is at the top of the window, prompt() centered.
• PIN dialog says "Sign In" on the button, prompt() says "OK" (which is not customizable).
• PIN dialog has "https://", prompt() just the domain.
I'd say that makes it pretty trivial to phish for Passkey PINs … 🤦♂️
and no, the Magic Keyboard with Touch ID when paired with #VisionPro does not permit the use of Touch ID
i even asked this to an Apple salesperson and they didn't know and they scoffed at the question because "there's Optic ID why would you want a second factor of authentication?!?"
Fraser will cover how distributed #authentication has evolved, and the place of technologies like #FIDO2#passkeys and external #OAuth2 providers in the new landscape.
@jsrailton Only FIDO2 and Passkeys are protecting against #phishing attacks.
Caution: #Passkeys might copy your secret into the service provider's cloud for convenience and backup purposes.
IMHO, #FIDO2 hardware tokens are the only non plus ultra for authentication security since they protect your secrets in hardware without the possibility of "backups" to the cloud.
Passwörter gelten als unsicher, weshalb Firmen wie Google, Microsoft und Apple das Konzept der Passkeys in den Markt drücken möchten. Ist das der richtige Weg, oder ist es nur Marketing?
TIL: browsers now have usb access, for #fido2#2fa#passkeys and what not.
sounds like the only question is WHEN this will turn out to be a vector for novel attacks. #infosec
Une question pour les pros de la cybersécurité : je voudrais tester #FIDO2 puisque tout le monde dit que c'est bien et que ça fait le café. Quel service gratuit vous connaissez où je peux me créer un compte et m'authentifier avec FIDO2 ?
Ich werde der ein oder andere Person einen #Fediverse#Account auf meinen #Server ermöglichen und habe dazu eine allgemeinere #Domain als meine eigene crazy-to-bike.de registriert.
Nun stellt sich noch die Frage nach der richtgen #Software für die #Instanz.
Das gefällt mir aber im Vergleich zu anderen Möglichkeiten weder optisch, noch finde ich die #Zeichenlimitierung gut.
Derzeit bin ich ja auf #Firefish unterwegs, aber das scheint den letzen Prognosen zu Folge ein höchstwahrscheinlich totes Pferd zu sein.
#Sharkey als weiteren #Misskey-Nachfolger #Fork teste ich gerade auch, was für mich eine mögliche Alternative zu Firefish ist. Aber auch dieses Projekt ist ja noch sehr frisch und in meinen Augen einfach nicht absehbar, wie dauerhaft das Ganze fortbesteht.
Auf #Friendica war ich ja auch schon eine Zeit lang unterwegs, aber das ist optisch auch sehr angestaubt und hat bei mir auf dem Server auch datenbanktechnisch rebelliert.
Ich weiß, dass es noch eine ganze Reihe Alternativen gibt, will und kann aber nicht alles durchprobieren.
Daher hoffe ich auf gute Tipps.
Wichtig ist
kein, hohes oder einstellbares Zeichenlimit
gute Strukturierung und Kategoriesierung von Lesezeichen (wie bei Firefish und Sharkey mit den Clips)
Folgen von #Hastags und / oder Begriffen (wie bei Firefish und Sharkey mit den Newspickern / Antennen)
gutes, ansprechendes und leicht bedienbares responsive Design für die Nutzung auf dem Smartphone (oder volle Unterstützung durch eine App wie bei Mastodon)
Schön wäre
Konfigurierbarkeit des Speicherverbrauchs durch die Föderation (was wird wie lange auf dem eigenen Server vorgehalten) wie bei Mastodon
automatische Löschung von Beiträgen konfigurierbar wie bei Mastodon
hohe Wahscheinlichkeit einer nachhaltigen Weiterentwicklung
Moderierte Kontoerstellung wie bei Mastodon
Je länger ich hier schreibe, denke ich, dass Mastodon für sehr vieles davon wohl die richtige Software wäre - will ich aber eigentlich aus Gründen nicht.
Eine nicht funktionierende (User-)#Suche, was @grischa entdeckt hat
Was davon in der nächsten Version behoben ist, weiß ich nicht. Aber @grischa hat wohl Einblick in die nächste Version bekommen.
Ob Misskey dieselben Pferdefüße hat, weiß ich auch nicht, wobei das ja sehr wahrscheinlich ist, wenn Sharkey eigentlich nur ein Misskey mit anderem Design ist 🤔🤷♂️
The FIDO specification defines a form of Universal 2nd Factor (U2F) when users log in to a system. Rather than relying on one-time codes sent via SMS, or displayed on a phone screen, these are physical hardware tokens which are used to supplement passwords. When used with websites, this technology is also known as WebAuthn.