Tootfinder

Why do some online services allow to use password as secondary verification(along with other 2fa ones) after already using the goddamn password in the first place.
Am I missing something here or this is the dumbest shit ever?

«Storm Infostealer umgeht 2FA — Malware übernimmt Accounts ohne Passwort:
Der neue Storm Infostealer umgeht 2FA, kapert Accounts per Session-Hijacking und entschlüsselt Daten serverseitig.»
Ich gehe mal davon aus, dass die JSON Web Token (JWT) umgehen. JWT ist zwar populär aber nicht sicher. Die Zwei-Faktoren Autentifikation (2FA) ergibt am Ende auch JWT zur online Erkennung.
😕

Storm Infostealer umgeht 2FA: Malware übernimmt Accounts ohne Passwort
Der neue Storm Infostealer umgeht 2FA, kapert Accounts per Session-Hijacking und entschlüsselt Daten serverseitig.

One thing I find actually infuriating about GrapheneOS is their unexplained, unexplored, unquestionable religious mantra that mere enabling of developer tools or ADB is automatically responsible for every aberrant behavior exhibited by the OS rather than their insane paranoid security-at-any-cost philosophy. Yes, I'm sure using ADB to push some audiobooks to my device and turning off UI animations in dev tools is what caused my phone not to be able to run a 2FA tool and Firefox simultane…

Google researchers found a zero‑day exploit likely developed with AI, designed to bypass 2FA.
Unusual code patterns - including hallucinated CVSS scores - gave it away.
https://www.computing.co.uk/n…

Criminals have already used AI to create a zero-day exploit
Researchers at Google say they have uncovered the first known case of hackers using AI to develop a zero-day cyber exploit.

Police dismantle major phishing platform blamed for attacks on hospitals and schools https://therecord.media/police-dismantle-tycoon-2fa-phishing-platform

Ordering groceries from Safeway online for the first time in a while.
Because "I'm signing in from a new device" (I'm not, it's the same browsing VM I've used every time I've ordered in the past and I haven't cleared any long lived cookies etc) they're trying to 2fa me by sending a code to my email inbox that expires in only 5 minutes.
The email is HTML only with no plain text body.

I gotta admit that Passkeys have grown on me. I use them with 1Password & the integration even in Apple’s apps is great.
Looks like the worst UX problems have been ironed out and pressing “Login using Passkey” is much nicer than pasting email codes or getting angry that OTP auto-fill doesn’t work.
My main annoyance now is that many sites use it as 2FA and not as a primary login.

Een volledig digitale samenleving: in Estland kan het
#DigitaleSouvereniteit

Poszedł reset wszystkiego - każdego hasła wszędzie, pełna reinstalacja, każda rzecz. Poleciłem znajomemu zwolnienie kogoś, kto mu tę stronę przez 2 lata ogarniał. Zaproponuje mu przejście na stronę statyczną z prostym koszykiem - ma 10 produków tylko, a tyle problemów przez to.

Na razie - wrzuciłem mu WAF i wszystkie ochrony botowe na cloudflare, cykliczne skanowanie wordfensem, nowy setup backupów offsite na s3, wszędzie 2FA, pousuwałem pluginy, wszytko zaaktualizowałem z góry na dół.

«Zwei Drittel der Sicherheitsvorfälle lassen sich auf Schwachstellen im Zusammenhang mit Identitäten zurückführen»
Eigentlich nichts Neues aber immer noch sind in Firmen 2FA und MFA noch nicht oder sehr selten aktuell so wie BitLocker an sich nicht wirklich sicher.
🔓

Zwei Drittel der Sicherheitsvorfälle lassen sich auf Schwachstellen im Zusammenhang mit Identitäten zurückführen
Sophos stellt seinen neuen Active-Adversary-Report 2026 vor, der die Ergebnisse aus der Analyse von weit mehr als 600 realen Cyberangriffen präsentiert.

@…
If I have an alt on cyberplace.social and I locked it with 2FA and I lost my "Aegis"(2FA "account") without any backups should I consider that account to be permanently dead even if I control the email that I registered the account with?
#LostAccount

#Fedihilfe Mit einem# GMX-Mail-Account auf Android mit #Thunderbird oder #K9-Mail-Einloogen. Fehler ist "Autentification failed". Die Anleitung bei GMX hilft nicht. Ein webanfragen zeigen den gleichen Fehler aber keine Lösung. Kein 2FA, die Server werden vom Mailprogramm automatisch richtig übernommen. Ist es vielleicht nötig einen Tag abzuwarten bis die Freischaltung von IMAP auch funktioniert?

#Fedihilfe Mit einem# GMX-Mail-Account auf Android mit #Thunderbird oder #K9-Mail-Einloogen. Fehler ist "Autentification failed". Die Anleitung bei GMX hilft nicht. Ein webanfragen zeigen den gleichen Fehler aber keine Lösung. Kein 2FA, die Server werden vom Mailprogramm automatisch richtig übernommen. Ist es vielleicht nötig einen Tag abzuwarten bis die Freischaltung von IMAP auch funktioniert?

Wieder eine geniale 1Password Funktion kennengelernt:
Beim Acount erstellen wird auch 2FA eingerichtet mit "Authenticator App", aber ich mache die Anmeldung ja gerade auf dem Handy, wie soll ich also den QR Code scannen? Die App empfiehlt ein "Zweitgerät".
Hier kommt das universal clipboard ins Spiel. Screenshot machen auf dem Handy. 1Password auf dem Mac öffnen und das kann den QR Code direkt aus dem Clipboard lesen und einsetzen. Magic. 🪄