2fa

Backblaze unterstützt nun auch die 2FA via App#

Bislang konnte man die Zwei-Faktor-Authentifizierung für den Login bei Backblaze nur über SMS durchführen. Nun hat Backblaze die 2FA mittels Applikation ermöglicht.

All Backblaze backups occur over HTTPS, are encrypted, and we even have private encryption key functionality available for those who wish to add another layer of protection. In 2015, we added two-factor verification (“2FV”) via SMS to our service, which allowed customers to use a mobile device to verify that they were indeed the ones accessing their Backblaze accounts. Today we are announcing our latest step in helping customers protect their Backblaze accounts – two factor verification via authenticator applications like Google Authenticator and Authy. To enable that, we now support the “ToTP” protocol.

Endlich.

Backblaze ist, das nur nebenbei, Teil meiner Strategie für sichere Backups unter Mac OS X.

Tumblr endlich mit https

Tumblr unterstützt seit einiger Zeit SSL für dort gehostete Blogs. Wer also ein Tumblr-Blog betreibt, melde sich im Dashboard an, wechsle in die Blog-Einstellungen und aktiviere die Option „Blog immer über SSL öffnen“.

Gehackt trotz Zwei-Faktor-Authentifizierung#

Zwei-Faktor-Authentifizierung (2FA) ist kein endgültiger Schutz davor, gehackt zu werden, wenn nicht die Sicherheit jedes einzelnen Glieds der Authentifizierungskette gewährleistet ist. In Grant Blakemans Fall (sein Instagram-Konto wurde übernommen) scheint der Hack seinen Ausgang beim Telefonie-Anbieter (!) genommen zu haben.

I had two-factor authentication turned on for Google […] I use 1Password and passwords I use to each service are painfully-long, complex, and unique. [Mat Honan] suggested that I check with my cell phone provider and make sure that call-forwarding had not been enabled on my number without me knowing. […] I called, and sure enough, as of Saturday morning my number had been forwarded to a number I did not recognize. Unreal. So, as far I can tell, the attack actually started with my cell phone provider, which somehow allowed some level of access or social engineering into my Google account, which then allowed the hackers to receive a password reset email from Instagram, giving them control of the account.

Nota bene: Authentifizierungs-SMS abschalten, Authentifizierung per App einschalten.