PassKeys seem like a bad idea. Google backs them up to the cloud, so if your Google account is compromised then all your private keys are compromised. I don't see how that's an improvement over password+2FA at all.
Now security keys I get; keep the private key on an airgapped device. That's good. Hell I even keep my 2FA-OTP salts on a YubiKey.
I don't yet know how to efficiently answer questions about the Swift language, so forgive if the answer is obvious.
Erlang/Elixir have a fault-intolerance library built on top of their version of actors. https://en.wikipedia.org/wiki/Open_Telecom_Platform It involves "supervision trees”, where supervisors control the lifespans of actors they supervise, react to unexpected failures, etc.
La #app#Android fatta l’altro giorno ha svolto il suo lavoro, e programmarla così è stato furbo. 🌚️ Ho usato quindi:
Quella, per eseguire un piccolo #script#JS per monitorare gli #SMS in entrata, controllare che provengano dal mio numero di #telefono, e siano del tipo giusto (cioè, con il corpo HTML racchiuso all’interno di un elemento XML <post> che ho inventato di sana pianta), assemblarne multipli in una sola stringa di testo se necessario (per la prova di prima non lo è stato), e inviarli con un’apposita richiesta #HTTP ad…
Un workflow creato al volo su n8n (che gira sul mio #server), che usa la #API semplificata del plugin WP per pubblicare, dato che per qualche motivo il modulo WordPress integrato nella piattaforma non funziona per il mio #sito.
Tutto insieme, questo sistema mi ha permesso di pubblicare su #WordPress effettivamente tramite un messaggio SMS, inviato dal mio #smartphone principale, ricevuto dal secondario che ha #Internet e fa le sue cose. Nel video c’è la dimostrazione di quel post di prima, appunto; di sfondo, l’interfaccia di #n8n che si aggiorna per mostrare la nuova esecuzione avvenuta, e il #MicroBlog con il nuovo post arrivato… 🐵️
Ora, ripeto che questo era un #EsercizioDiStile, e per il momento nell’anno del signore #2023 non ho esigenza di postare così, ma forse il concetto generale potrebbe tornare utile per le emergenze, e in ogni caso certamente fa figo provare sulla mia #piattaforma l’ebrezza di una funzione che solo #Twitter di tutte ha avuto, e solo per poco tempo. 😤️
Se in futuro volessi davvero usarla, innanzitutto implementerei un sistema di #OTP, così che ogni volta che voglio pubblicare devo anche inserire un codice temporaneo (perché SMS è un colabrodo di protocollo, e sarebbe possibile per dei criminali inviare un messaggio che appare come dal mio numero), poi magari implementerei funzioni come la modifica dei post (oltre che qualche feedback per pubblicazione avvenuta con successo o meno, cosa che ho evitato ora perché dalla seconda #SIM non posso inviare messaggi, solo ricevere). Per chi vuole curiosare, il #JavaScript per #DroidScriptin e il JSON per n8n sono qui: https://gitlab.com/octospacc/Snippets/-/tree/main/SmsToWordpress. 🎀️
Ma c'è un problema, se per qualche motivo non potete più generare codice OTP per la verifica in due passaggi non riuscirete più ad entrare e non potremo aiutarvi.
Quindi fate sempre il backup criptato di tutti i dati e usate un #OTP multipiattaforma da installare su più dispositivi come #Authy.
Se ne usate altri consigliateli nei commenti, grazie 🙏
I found out that andOTP is now unmaintained, so I decided to find a new home for my OTP for multi-factor authentication or MFA in Android. I wanted to give a try to FreeOTP but I couldn't just restore a backup from one to the other, so I made a migration script from andOTP to FreeOTP (for now only URI format work). Give it a try https://codeberg.org/adelgado/andotp2freeotp #andOTP#FreeOTP#OTP#MFA#Android#Python
If not secured properly, one-time passwords are a lot more likely to be guessed than you think!
Ever since I've learned that #Keycloak's default configuration does not prevent #OTP brute-forcing, I wanted to discuss the topic in detail and raise awareness.
in terms of industry programming languages that any programmer can hit the ground running with little to no ramp up, #elixir does the best job imo. I never used ruby, but its all so obvious you can just get to work. and for distributed systems that need to scale in a flexible way, the #beam eliminates nearly everything that makes webapp development horrible. it's hard to make a good argument for any other industrial virtual machine. #commonlisp implementations being the exception.
@dsp@askonomm also the BEAM is just cool. I personally don't find the JVM very interesting as a subject matter to study, but #BEAM + #OTP is infinitely interesting, it's a proper spaceship
This blog post points out that automatically restarting processes can hide problems, which is certainly true. Doesn’t have to be systemd. Something like supervisor trees in #Erlang/#OTP might do the same.
If you’re restarting something, measure restarts and plot them on a graph. If it’s happening, understand why it’s happening. If it’s designed to fail, fail it on purpose at a regular cadence to make sure that failure is being compensated for correctly.
I believe that for password-less logins through E-Mail, we should actually use something other than E-Mail.
E-Mail is often connected to phone numbers for recovery, so SIM-Swapping works. They're usually not encrypted, and on-top of that they're not always convenient.
What would they be replaced with? I don't know, but I think we should start brainstorming.
I'd only trust #eMail if the sender uses PGP/MIME, but even companies that do have the tech (even if it's a shitty MITM'ing appliance) and personnesl (inhouse/onsite sysadmin) refuse to take one's Pubkey and shove it into their systems to transparently encrypt and decrypt eMail!
Hey les loutres, vous connaissez un outil qui permet de gérer du #OTP et qui est utilisable à plusieurs ?
Grosso modo, on a en gestion plein de comptes divers et variés, et on a aucun outil pour en centraliser la gestion. Donc là genre on a un téléphone dédié, mais c'est tout sauf pratique et surtout si le tél décède et qu'on a pas de backup à jour, on va l'avoir dans le popotin.
Merci d'avance, bande de fédiloutres reboostipouétantes :boost_request:
So, my #podcast interview partner is having problems finding my next guest. If they don't by tonight - would anyone here be willing to talk about their #otp with me? Any #fandom, just no anime (bc I just did two anime episodes). #shippingcast
OTPs?
I might be a shill for platonic friendships, but I have a plethora of rarepairs too. Tell me about your favourite pairings and why you like them!...