Tootfinder

«Storm Infostealer umgeht 2FA — Malware übernimmt Accounts ohne Passwort:
Der neue Storm Infostealer umgeht 2FA, kapert Accounts per Session-Hijacking und entschlüsselt Daten serverseitig.»
Ich gehe mal davon aus, dass die JSON Web Token (JWT) umgehen. JWT ist zwar populär aber nicht sicher. Die Zwei-Faktoren Autentifikation (2FA) ergibt am Ende auch JWT zur online Erkennung.
😕

Google researchers found a zero‑day exploit likely developed with AI, designed to bypass 2FA.
Unusual code patterns - including hallucinated CVSS scores - gave it away.
https://www.computing.co.uk/n…

I had 2FA setup but couldn't generate the code, or some other recovery code I was supposed to have. But I prefer your explanation.

I gotta admit that Passkeys have grown on me. I use them with 1Password & the integration even in Apple’s apps is great.
Looks like the worst UX problems have been ironed out and pressing “Login using Passkey” is much nicer than pasting email codes or getting angry that OTP auto-fill doesn’t work.
My main annoyance now is that many sites use it as 2FA and not as a primary login.

Een volledig digitale samenleving: in Estland kan het
#DigitaleSouvereniteit

@… Problemem jest ogólnie 2FA do odblokowania PESEL przez numer telefonu.

Bo odzyskanie numeru wymaga odblokowania PESEL, a odblokowanie PESEL wymaga aktywnego numeru do odebrania SMS. Odblokowanie PESEL wymaga stawienia się w urzędzie - co dla kogoś spędzającego 9-10msc w roku poza krajem może być słabe.

Rozwiązaniem jest pos…

Why do some online services allow to use password as secondary verification(along with other 2fa ones) after already using the goddamn password in the first place.
Am I missing something here or this is the dumbest shit ever?

@… Tak, o tym serwisie pisałem - logowanie przez ePUAP - 2FA SMS, albo aplikacja mobilna/bank.

Masz telefon zbrikowany telefon z eSIMem - nie możesz się zalogować, żeby odblokować PESEL, żeby dodać nowy eSIM (bo to jak nowa karta) do nowego urządzenia lub wyrobić duplikat fizyczny SIM.

@…
If I have an alt on cyberplace.social and I locked it with 2FA and I lost my "Aegis"(2FA "account") without any backups should I consider that account to be permanently dead even if I control the email that I registered the account with?
#LostAccount

Wieder eine geniale 1Password Funktion kennengelernt:
Beim Acount erstellen wird auch 2FA eingerichtet mit "Authenticator App", aber ich mache die Anmeldung ja gerade auf dem Handy, wie soll ich also den QR Code scannen? Die App empfiehlt ein "Zweitgerät".
Hier kommt das universal clipboard ins Spiel. Screenshot machen auf dem Handy. 1Password auf dem Mac öffnen und das kann den QR Code direkt aus dem Clipboard lesen und einsetzen. Magic. 🪄

@… Tak - tylko parowanie aplikacji bankowej na "nowym" urządzeniu wymaga autoryzacji przez 2FA - najczęściej albo inna apka (nie możliwe - zbrikowany telefon), albo... SMS - sprawa z eSIMem i odblokowaniem PESEL.

Poszedł reset wszystkiego - każdego hasła wszędzie, pełna reinstalacja, każda rzecz. Poleciłem znajomemu zwolnienie kogoś, kto mu tę stronę przez 2 lata ogarniał. Zaproponuje mu przejście na stronę statyczną z prostym koszykiem - ma 10 produków tylko, a tyle problemów przez to.

Na razie - wrzuciłem mu WAF i wszystkie ochrony botowe na cloudflare, cykliczne skanowanie wordfensem, nowy setup backupów offsite na s3, wszędzie 2FA, pousuwałem pluginy, wszytko zaaktualizowałem z góry na dół.