Tvåfaktorautentisering är lätt

Jag slog precis på tvåfaktorautentisering här på min blogg. Det tog ungefär tre minuter.

Om du vill slippa all teori omkring så gör man så här:

  1. Installera FreeOTP på din telefon.
  2. Ladda ner tillägget Two Factor Auth till din WordPress.
  3. Om den inte fungerar, installera php5-mcrypt och se till att den fungerar i din installation.
  4. Klicka på Two Factor Auth i win WordPress-meny och aktivera TOTP.
  5. Läs av QR-koden med FreeOTP på telefonen.
  6. Logga ut från WordPress.
  7. Logga in på WordPress med ditt vanliga lösenord. Nu får du frågan om OTP-koden.
  8. Generera koden i telefonen med FreeOTP och skriv in den i WordPress.

Så enkelt är det. Inga dyra RSA-dosor, inga SMS, och inga engångslösenord nedskrivna på en lapp.

Nästa blogginlägg får bli teorin kring denna lösning.

24
Sep 2014
POSTED BY
DISCUSSION 3 Comments
TAGS

Lathet och OpenID

Jag ville ha en OpenID-inloggning. En egen. Detta har dröjt ett tag, eftersom jag inte har orkat leta efter vettiga implementationer av en OpenID-server. Och så har naturligtvis andra saker prioriterats.

Men idag fick jag ork att leta lite efter om det fanns några genvägar. Och jag ville inte använda lösenord, utan hellre klient-certifikat från cacert.org. Så vid en snabb sökning så hittade jag tjänsten certifi.ca som just enbart är en OpenID-provider för folk med cacert. Prima. Men jag ville ju inte egentligen knyta upp mig mot deras tjänst, utan ta höjd för att köra på egen hand framöver. Så vad jag gjorde var att skaffa konto hos certifi.ca, och sedan så la jag till följande på min blipp.com-domän:

<link rel="openid.server" href="http://certifi.ca/_serve" />
<link rel="openid.delegate" href="http://certifi.ca/pawal" />

Det innebär att jag numera kan använda blipp.com som ett OpenID, men styra själv vilken OpenID-provider jag vill använda. Och jag har testat detta mot lite allt möjligt, bland annat slashdot.org och dopplr.com. Båda dessa tjänster stöder dessutom att man i efterhand kan knyta sitt OpenID mot sitt befintliga konto.

26
Jan 2010
POSTED BY
DISCUSSION 0 Comments
TAGS

Hitta deras fingeravtryck

Vem blir först med att lyckas ta en kopia av Tomas Bodströms eller Beatrice Asks fingeravtryck?

Detta apropå vad CCC nu hittat på. Och så här gör man sen för att fejka fingeravtryck.

30
Mar 2008
POSTED BY
DISCUSSION 1 Comment
TAGS

Från Hej!2007

Jag bevistade just den lilla Web2.0-konferensen Hej!2007 här i Stockholm. Mycket trevligt att träffa lite folk man känner och se lite vad som händer. Udda att det ska till folk från Singapore för att ordna en sådan konferens. Och skojigt att Podesk var där och podcastade hela arrangemanget fortlöpande.

Så mycket inspiration fick jag inte, men att bli uppdaterad på vad Jaiku handlade om var bra, även om de hemlighöll var pengarna kom ifrån. Men det är uppenbart att Nokia är en stor investerare. (Jaiku är en nyare och bättre Twitter, och Twitter har jag inte riktigt förstått poängen med.) Kul att de bygger sin backend på Jabber, det hade jag också gjort.

Allt handlade lyckligtvis inte bara om Web2.0, utan det fanns faktiskt lite teknik-folk i periferin. Jag uppskattade, tro det eller ej, Joe Armstrongs korta föreläsning om Erlang. Eric Wahlforss och Alexander Ljungs prat om social tillit på nätet var också intressant, jag har mest sysslat med annan typ av identifiering och autentisering.

Det finns säkert andra bloggare som skrivit hur mycket hyllningar som helst till detta, det hela andades som Joe Armstrong sa, mer religiöst väckelsemöte än seriös teknik-konferens.

21
Apr 2007
POSTED BY
POSTED IN Identitet Web2.0
DISCUSSION 0 Comments
TAGS

Upp och ner med sociala nätverk

ExxonRedan med den gamla idén om Six Degrees satt i praktiken med en sajt med samma namn så tyckte jag att visualisering av sociala nätverk är en väldigt tuff och skrämmande idé. Jag blev aldrig medlem på riktigt på Six Degrees, endast som en påhittad användare som en ensam okopplad nod i nätverket. Numera är jag deltagare på några sådana sociala nätverkssajter, men jag har svårt att komma på något vettigt jag skulle vilja använda dem till. Utom kanske det mest uppenbara, se vem som känner vem och på vilket sätt.

2002 publicerade First Monday en artikel av Valdis E. Krebs med titeln Uncloaking Terrorist Networks om hur man kan kartlägga 9/11-attackerna med hjälp av visualiserade sociala nätverk. Det är uppenbart att polismyndigheter av olika slag sedan länge använd dessa tekniker med mer eller mindre framgång. Så om man funderar på någon slags organiserad brottslighet kan det vara bra att vara medveten om vilka spår man strör omkring sig. Även om man nu inte är intresserad av brottslighet bör man nog vara medveten om att ju fler spår man lägger ut, desto lättare är det för någon att kartlägga ens liv. Jag vill nog inte riktigt veta vad mitt kreditkortsbolag vet om just mig.

Men vad som fick mig att skriva av mig såhär är att jag på riktigt för första gången sett ett riktigt tufft användningsområde för att allmänheten ska kunna lägga sina egna sociala nätverkspussel. Det är greenpeace.org som upplyst mig om den smått fantastiska webbplatsen exxonsecrets.org där man själv kan gå in och kartlägga människorna runt oljebolaget ExxonMobil och dess kontakter. Syftet är att kartlägga de som argumenterar mot växthuseffekten, och dessa personers monetära och politiska kopplingar till ExxonMobil. När man läser en artikel om växthuseffekten kan man själv gå in och se de kopplingar som finns mellan de personer som är inblandade i artikeln och ExxonMobils diverse förgreningar.

Önskedrömmen vore ju att se någonting sådan inför det svenska valet nu i höst…

23
Apr 2006
POSTED BY
DISCUSSION 2 Comments
TAGS

eID och den eviga förvirringen

BankIDVi har sedan i oktober förra året ett nytt nationellt identitetskort i Sverige, det så kallade NIDEL-kortet. Detta kort gäller, förutom som ID-kort, även som ett pass man kan använda inom Schengen-området. I NIDEL-kortet finns även ett så kallat smart kort man skulle kunna använda för att lagra certifikat i. Men man gjorde bara 90 procent av jobbet, och lät bli att stoppa in några sådana.

Min morgon idag började med den IT-politiska strategigruppens hearing om eID. Till hearingen hörde en teknisk rapport om eID med en översikt av de tekniker och sånt som händer i Sverige, samt de problem man måste lösa för att kunna sprida användning av eID i Sverige. Det är idag i princip en marknad som BankID äger. Problemet med BankID är att det är mer en affärsmodell än en nationell infrastruktur. Jag kan som tjänsteproducent varken enkelt eller billigt idag inte identifiera användare med någon typ av nationellt utgivet certifikat. Målet med hearingen var att staka ut en väg framåt för att få i stånd detta. För en extra fjäder i hatten ska detta vara klart till i2010.

Så vad är då status på eID? Jag tycker att PTS förteckning över certifikatutfärdare är väldigt talande. Men samtidigt så tycker jag nog att det finns hopp. Det finns krafter som kommer att arbeta sig runt både NIDEL och BankID, men det kommer att ta tid. Att det skulle finnas eID år 2010 är dock optimistiskt. Men man kan medan man väntar köpa sig ett NIDEL-kort på passexpeditionen, och stoppa in egna certifikat från exempelvis CACert.org.

18
Apr 2006
POSTED BY
POSTED IN Identitet Integritet
DISCUSSION 0 Comments
TAGS