_hhnj 積分 1 編輯於

Google Online Security Blog On Fire Drills and Phishing Tests1

However, there’s no need to make this adversarial, and we don’t gain anything by “catching” people “failing” at the task.

似乎在台灣的企業文化中,錯誤的行為通常會被直接扣分,卻缺乏事後檢討的過程。我們應該反省有哪些地方沒有做好,檢討哪些地方可以改進,也就是實行 Blameless Postmortems。

ksc91u 積分 0

Vaultwarden 的 server 已經支援存 passkeys Bitwarden 的 PR 還沒 merge

Client 的部分用 bitwarden 的 browser extension 改一下測試也可以用了

這樣之後不同 OS 的 passkeys 同步就比較方便了

j0n 積分 0

1password 用好幾年了... 感覺已經是個老東西

haocheng 積分 1

我前一陣子轉到 1 password 之後覺得很滿意 XD

anthonychen 積分 0

稍微看了一下 reddit 的討論,感覺是個不錯的後起之秀,還有一些功能還在開發中,穩定性還好。跟 Bitwarden 比較起來,對我而言轉換過去的誘因還不夠強,再觀察

ksc91u 積分 0

原本只是在看說, 為什麼 Chrome 的 passkeys 實作在 windows 說不支援 sync。 Link1 因為他寫說是用 windows hello 的 passkeys 實作。

那就是那些運算都是 windows os 幫忙做掉的, 似乎也合理。

總之就是 passkeys 都是系統實作掉的, 不是各自軟體各自實作。

除非去用 3rd party app 像是1password or bitwarden(也許之後會支援)

ksc91u 積分 2

雖然 logins.json 看似有加密, 但是只要拿到同目錄下的 key4.db 就可以解開

Yandex Browser 可以 import Edge/Firefox 的密碼, 不能 import chrome Yandex 自己本身有保護, 編輯密碼需要輸入 windows hello 密碼

微軟說有用DPAPI保護?2

Firefox1

haocheng 積分 0

是啊,不過你的手機掉了可能也有一樣風險?

changyuheng 積分 0

這樣是不是一旦 Google 帳號被盜,所有的 multi-factor 驗證就都不可靠了?

haocheng 積分 0

過了這麼多年終於支援了...

但我大多數的 1 time password 都轉到 1password 上了 XD

haocheng 積分 0

用 Java 6 搞不好都比資料庫裸奔要安全一點 XD

Kros 積分 0

還在用 java 6 的也很多好嗎

j0n 積分 1

好奇如果他們有過 PCI-DSS 怎麼會流出?如果沒過 PCI-DSS 為什麼可以存用戶的卡號?

haocheng 積分 1

不敢相信現在還有服務的資料庫是沒有鎖權限也沒有擋IP的…

j0n 積分 0

竟然沒有主動告知用戶,我都是看新聞才知道... 太爛了

gugod 積分 1

Because the database was not password-protected, anyone on the internet could access the iRent customer data just by knowing its IP address.

這類基本錯誤真的不該再犯了。改個設定檔就可以減少負面新聞曝光。多好。