哇，這也太有耐心了 ...

讓人不寒而慄的駭客潛伏手段說明1

給學生去的，純分享

網頁從英國打不開 🥸

Vaultwarden 的 server 已經支援存 passkeys Bitwarden 的 PR 還沒 merge

Client 的部分用 bitwarden 的 browser extension 改一下測試也可以用了

這樣之後不同 OS 的 passkeys 同步就比較方便了

1password 用好幾年了... 感覺已經是個老東西

我前一陣子轉到 1 password 之後覺得很滿意 XD

稍微看了一下 reddit 的討論，感覺是個不錯的後起之秀，還有一些功能還在開發中，穩定性還好。跟 Bitwarden 比較起來，對我而言轉換過去的誘因還不夠強，再觀察

誒？你有買 Proton 喔？

喔喔！有興趣耶

原本只是在看說, 為什麼 Chrome 的 passkeys 實作在 windows 說不支援 sync。 Link1 因為他寫說是用 windows hello 的 passkeys 實作。

那就是那些運算都是 windows os 幫忙做掉的, 似乎也合理。

總之就是 passkeys 都是系統實作掉的, 不是各自軟體各自實作。

除非去用 3rd party app 像是1password or bitwarden(也許之後會支援)

雖然 logins.json 看似有加密, 但是只要拿到同目錄下的 key4.db 就可以解開

Yandex Browser 可以 import Edge/Firefox 的密碼, 不能 import chrome Yandex 自己本身有保護, 編輯密碼需要輸入 windows hello 密碼

微軟說有用DPAPI保護?2

Firefox1

是啊，不過你的手機掉了可能也有一樣風險？

這樣是不是一旦 Google 帳號被盜，所有的 multi-factor 驗證就都不可靠了？

過了這麼多年終於支援了...

但我大多數的 1 time password 都轉到 1password 上了 XD

用 Java 6 搞不好都比資料庫裸奔要安全一點 XD

還在用 java 6 的也很多好嗎

好奇如果他們有過 PCI-DSS 怎麼會流出？如果沒過 PCI-DSS 為什麼可以存用戶的卡號？

不敢相信現在還有服務的資料庫是沒有鎖權限也沒有擋IP的…

竟然沒有主動告知用戶，我都是看新聞才知道... 太爛了

原來有人發英文版了 XD

Because the database was not password-protected, anyone on the internet could access the iRent customer data just by knowing its IP address.

這類基本錯誤真的不該再犯了。改個設定檔就可以減少負面新聞曝光。多好。

我不太確定拿 ssh private key 跟密碼來類比是不是合適就是 QQ

不過資安很難做到一百分，就看覺得什麼比較重要來取捨吧

Private key 我指的是 SSH private key；密碼跟 private key 是同等級的東西，但是我們都知道 private key 不應該以任何形式離開本地，但是大家卻可以接受密碼被放到雲端，這點令我很納悶。

他應該是指 SSH key 像是 id_rsa 這種類密碼功能的東東