Wie man sich mittlerweile in alles einloggen „muss“

Das ist mittlerweile auch ein „schönes“ Beispiel dafür, wie eigentlich gute Dinge immer schlechter werden. Ein Umstand, den ich zumindest subjektiv immer mehr bekomme, was vermutlich auch an der allgemeinen Weltlage liegt – jedes Mal, wenn du denkst, dass irgendwas überstanden ist, kommt einfach noch was viel Bekloppteres um die Ecke. Vielleicht liegt es aber auch daran, dass sich einfach niemand mehr Mühe gibt und wenigstens versucht zu verheimlichen, wenn er andere einfach über den Tisch zieht und ja, da fallen mir vor allem erstmal die VW-Vorstände ein. Plötzlich einen Batzen an Geld finden, während die große Krise weiter durch die Flure streift, Boni kassieren und gleichzeitig massiv Stellen abbauen. Ich mein, offensichtlicher wird’s nicht mehr und trotzdem passiert nicht das, was passieren müsste. Um ein bisschen näher ans Thema heranzurücken, kann man auch mal ganz ganze Cookie-Thema anschauen. An sich ja total schlau, dass man Menschen mehr Kontrolle über ihre Informationen geben will. Dass wir aber seit Jahren mit Cookie-Bannern zugeschissen werden und selbst Bestrebungen zur Eindämmung einfach weggebügelt werden, zeigt doch nur, dass … ja, was eigentlich? Dass wir als Menschheit gute Ideen haben, aber zu doof in der Umsetzung sind? Gleiches gilt dann auch für das nachfolgende Video und dem Thema Account-Sicherheit. Wo Captchas und 2FA im Kern Sinn ergeben, ist es dann doch erneut die Umsetzung und pure Flut, die das ganze System mindestens benutzerunfreundlich machen und selbst dafür sorgen, dass sie dann doch nicht genutzt werden, weils einfach alles nur noch nervt. Aber gar nicht nutzen ist halt auch keine Option: Weiterlesen ->

@ao3org Any chance of getting 2FA (any form) for user accounts? I was checking the Jira and I see it’s implemented for admin accounts (sensible, and a higher priority for sure). TOTP and or WebAuthn would be great to have.

I hate 2FA.

Hackearon mi cuenta: ¿qué hacer en los primeros 15 minutos?

Cuando una de nuestras cuentas es vulnerada, saber qué hacer de manera rápida es vital para mitigar el impacto.
Continue reading Hackearon mi cuenta: ¿qué hacer en los primeros 15 minutos?

View On WordPress

【重要】PiNetwork（パイネットワークComplete 2FA To Migrate：２段階認証やり方【仮想通貨マイニングアプリ】【保存版】

PiNetwork登録

https://minepi.com/makoto358

招待コード：makoto358

KYC、メインネット移行参考動画

https://youtu.be/QvFN3Ok5UR4

Em 2026, a fronteira entre a segurança e o caos digital deixou de ser uma password complexa. Entrámos na era da IA Agêntica, onde algoritmos autónomos não se limitam a atacar sistemas; eles mimetizam identidades, clonam vozes e fabricam realidades com uma perfeição aterradora. O smartphone que transporta no bolso tornou-se o campo de batalha principal de uma guerra invisível, onde o inimigo já não é um humano, mas um código que aprende e engana em tempo real.

Neste artigo, desconstruímos o colapso do paradigma das palavras-passe e revelamos por que motivo a sua sobrevivência digital depende agora de novos hábitos.

Aprenda a proteger o que é seu antes que a inteligência artificial decida por si.

A Segurança Informática Mudou: Porque é que as Passwords já não o protegem em 2026

Two-factor authentication is the worst thing we all put up with

I would rather get all my data stolen than have to do two factor authentication again in my life

NGINX TOTP Authentication: Add 2FA to Your Server

The ngx_http_auth_totp module enables NGINX TOTP authentication directly at the web server level. It brings time-based one-time password (TOTP) two-factor authentication to your infrastructure. This module implements RFC 6238 TOTP and RFC 4226 HOTP algorithms. It provides an additional layer of security beyond traditional password authentication.
Why Use NGINX TOTP Authentication?
Traditional…

NGINX TOTP Authentication: Add 2FA to Your Server

31. Januar 2026

Mein kleines Token

Ich arbeite an einer Uni. Um Email, Cloud und alles mögliche andere an der Uni zu verwenden, braucht man ein Passwort, und, wenn man von zu Hause arbeitet, außerdem noch irgendwas Zusätzliches – die berüchtigte “Two Factor Authentification”, oder kurz 2FA. Anfangs erhielt ich als 2FA einfach eine SMS an mein Handy, ich habe vergessen, was da genau passierte. Aber zu Hause habe ich fast keinen Handyempfang. Deshalb bin ich vor einiger Zeit auf die 2FA-App umgestiegen (beziehungsweise eine der Apps, die Uni verwendet mehrere, je nach Kontext, man hat es nicht einfach). Wenn ich mich einlogge, kriege ich einen Zahlencode angezeigt, den ich dann über die App eingeben muss. 

Vor einer Woche erhielt ich eine Email, in der stand, dass diese App demnächst auf meinem Android-Handy älterer Bauart nicht mehr funktionieren wird. “Ältere Bauart” heißt “nicht erst gerade gestern gekauft” oder so. Ich solle mich doch mal darum kümmern. Als Alternative bietet man mir ein Token an. Drei Tage später ist das Token in meinem Büro angekommt: Ein Plastikding mit einem Display und einem Umhängeband. Es wirkt ungemein kompetent.

Als ich mich das nächste Mal von zu Hause einlogge, schalte ich die 2FA auf Tokenbetrieb um. Auf dem Token erscheint ein sechsstelliger Code, den ich im Browser beim Einloggen eingebe, und schon bin ich drin. Es kommt mir alles komisch vor, weil dieses kleine Ding ja sicher nicht mit der Uni kommuniziert. Tut es auch nicht, wie mir erklärt wird. Das Token hat eine Nummer, die das Uni-Netzwerk kennt. Aus der Nummer generiert es einen Code, aus dem die Uni erkennt, dass ich es bin. Mehr Details weiß ich auch nicht. Und so sieht das Gerät aus, das ich demnächst ganz sicher stundenlang in der Wohnung suchen werde.

ALT

(Aleks Scholz)

Crooked letter.. David banner

Hey, I just saw this!

The surveys I reblogged iirc did not have login requests in them. Either way, it’s a good idea to have 2FA and change your passwords regularly, but no, the survey itself wasn’t phishing. That being said, I wouldn’t be surprised if there are clones of the same survey that Are phishing or similar scams. Good to remind people not to give out their passwords full stop and to practice online safety.

Stay safe out there.

iT4iNT SERVER Fortinet Warns of Active Exploitation of FortiOS SSL VPN 2FA Bypass Vulnerability http://dlvr.it/TQ0lFs VDS VPS Cloud

What are passkeys really? The simple explanation - for anyone tired of passwords | ZDNET

What are passkeys really? The simple explanation - for anyone tired of passwords

Why the fuck do I have to use MFA?

You didn’t ask but I’m going to tell you anyway.

The whole point of MFA/2FA is to have a Factor (that’s what the F stands for) that can be verified by you that can’t just be sitting around in a list of leaked accounts. That’s it.

So if you get an SMS with a new code every time you log in to something, that’s something that can’t easily be leaked. And if it is, it has a very short expiry time.

Ways we can fuck up MFA

• Only using SMS. These might not come or might be slow or you might be in the ass end of nowhere with no cell service. There’s also a fun thing called SIM swapping where they call up your mobile provider, pretend to be you and get your phone number moved to a new SIM card so they just receive all your codes.
• MFA signup links/QR codes left lying around with no expiry date. Now if they’ve broken into your email, they can set themselves up with their own MFA and use your account like it’s their own!
• Too much MFA. Best practice is to only trigger MFA requests when something is weird. Like signing in from a new device or new location. However, this is hard for services used by the public, cause sometimes people just do weird stuff.

Best ways to do MFA

• Do not use SMS wherever possible
• Also don’t use email for much the same reason
• Ideal world is that the thing doing your MFA is a different thing than the one you’re logging in on. Ie use your phone to do codes that you type in on your computer.
• Best options (in order of bestness) are passwordless via either hardware or software passkeys (Yubikey or an app that does passkeys), push notification apps or the number generate-y app

MFA is not magic, there are bypasses, but it is extremely, extremely effective. Please use it.

SME Cybersecurity | SMECYBERInsights.co.uk SMECyberInsights.co.uk | SMECYBERInsights SME Cybersecurity News | Two-Step Verification: The Cri

Your Password is Just a Single Lock on a Bank Vault 🔒

Let’s be real for a second: relying on just a password for your WordPress site in 2025 is risky business.

WordPress powers over 40% of the web, which makes it a massive target for hackers. We aren’t talking about a guy in a hoodie typing furiously; we’re talking about brute-force botnets that try thousands of password combinations per second until they crack yours.

If they get in? You’re looking at data theft, malware injections, and your site getting blacklisted by Google.

The Solution? Two-Factor Authentication (2FA).

It’s the second key to your vault. Even if a bot guesses your password, they can’t physically steal the code generating on your phone.

:readmore:

📱 Why App-Based 2FA > SMS

You might think, “I’ll just get a code sent to my email or text.” Don’t do that.

• SMS is vulnerable to SIM-swapping attacks.
• Email is often the first thing hackers compromise.

The Gold Standard: Time-Based One-Time Passwords (TOTP). These are the codes generated by apps like Google Authenticator or Microsoft Authenticator. They live offline on your device and change every 60 seconds.

🛠️ How to Set It Up (Using Admin Safety Guard Pro)

We’re using the Admin Safety Guard Pro plugin for this example because it’s robust, but the logic applies generally.

1. Find the Security Panel: Go to your dashboard $\rightarrow$ Admin Safety Guard $\rightarrow$ Two Factor Auth.
2. Flip the Switch: Toggle “2FA via Mobile App” to ON.
3. The Critical Pairing: A QR code will pop up. Open your authenticator app on your phone, hit the (+), and scan that code.
4. Verify: The app will spit out a 6-digit code. Type that into your WordPress screen immediately (you have about 60 seconds!) and hit Save.

Boom. You’re locked down. 🛡️

⚡ Pro-Tips for High-Value Sites

If you run an agency, a store, or a popular blog, basic 2FA isn’t enough. You need strategy:

• Force the Admins: Don’t ask politely. Configure the plugin to force anyone with an Administrator role to set up 2FA before they can access the dashboard again.
• Backup Codes: Always download the printable backup codes. If you drop your phone in the toilet, these are the only way you’re getting back into your site.
• Whitelist Your Couch: Use “IP Whitelisting” so you don’t have to enter a code when you’re on your safe home Wi-Fi. But the second you go to a coffee shop? The shield goes back up.

Final thought: Security isn’t about paranoia; it’s about preparation. Don’t wait for the “weird activity” email to set this up.